Buenas, voy a tratar de relatar como se migra el Agente PanAgent 3.1 a el nuevo UserId-agent 4.1, no es que sea nada del otro mundo pero hay algún truco a tener en cuenta.
Lo primero es descargar el nuevo agente de la web de soporte de Palo Alto Networks. Si instalamos el agente en la misma estación donde teníamos instalado el antiguo el sistema se encarga de hacer un Upgrade de la configuración de forma automática. Hasta aquí fácil.
Ahora para que el nuevo agente arranque y funcione es imprescindible realizar estos cambios:
Si la plataforma es un Windows 2008 R2 X64 bits:
Ejecutamos el user-Id Agent Gui y lo primero es es cambiar el usuario con el que el servicio va a correr en el servidor. Hemos de generar un usuario del dominio que pertenezca a los siguientes grupos:
- Domain Users
- Event Log Readers
- Server Operators
Ahora entramos en Administrative tools y Local Security Policy. Una vez abierto este panel ir a: “Local Policies” > “User Rights Assignments” Hay que hacer dobre click en “Log in as a Service” y añadir el usuario en nuestro caso “paloalto” y le days al check para que coja bien el usuario.
Ejecutar desde el DOS el comando “gpupdate”
Aviso!! En el caso que no podais modificar este campo debido a una política del Active Directory debéis entrar por DOS y ejecutar “gpmc.msc” y una vez se abra el mmc entrar en la carpeta de vuestro dominio y en Domain Controllers, editar la política y hacéis los pasos antes comentados.
En la carpeta Palo Alto Networks donde dentro se ha instalado el UserID hay que añadir nuestro usuario “paloalto” y darle permisos de “Modify”.
Imprescindible hay que modificar el registro de windows usando el “regedit” y debeis ir al Path “Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Palo Alto Networks” y asignar a la carpeta “Palo Alto Networks” el usuario “paloalto” y darle “FULL Control”. Si no encontrais este PATH en el regedit buscad en el registro por Palo Alto Networks.
Con esto ya podríamos hacer commit en el UserId-Agent y debería arrancar sin problemas.
Si habéis llegado hasta aquí seguramente es porque primero habéis actualizado el PANOS a la versión 4.1.X, si es así podréis ver que ha cambiado radicalmente la forma de funcionar.
Ahora el PAN puede atacar directamente a un servidor LDAP/AD para hacer un retrieve de los usuarios sin necesidad de Agente. Para que estrese a nuestros Servidores LDAP podemos configurar el Agente como Proxy y así será el UserId-Agent quien haga la colecta de usuarios y grupos y ademas del mapeo de Usuario – Direccion IP.
Hay que generar desde Device -> Server Profiles -> Ldap y añadimos un perfil nuevo.
Fijaos en que el BindDN es vuestro usuario en formato ldap, la verdad es que podría ponerse paloalto@domain.local pero en algún entorno no me ha funcionado. modo ldap va siempre 
Ahora solo queda añadir el agente como Proxy de Ldap, en Device -> User Identification , modificar vuestro agente y activa la casilla de “Use as Ldap Proxy”. Si vais a autenticar NTML para el portal cautivo también añadir “use for NTLM Authentication”, hacer commit y a funcionar.
Saludos
Especial agradeciendo a Miguel Angel Amigo por su colaboración y pruebas
