Palo Alto Networks Management Access über TACACS

Palo Alto Networks Management Access über TACACS

100792
Created On 09/25/18 17:36 PM - Last Modified 03/26/21 16:25 PM


Symptom


Vor PAN-OS 8.0 war die TACACS Datei auf Nur Authentifizierung beschränkt. Wenn Sie sich gegen einen Server authentifizieren möchten, TACACS um sich bei der Weboberfläche anzumelden, oder , mussten Sie dieselben CLI Administratorkonten auf dem Palo Alto Networks-Gerät erstellen. Dies lässt sich nicht gut skalieren und ist zusätzlicher Overhead, insbesondere in großen oder dynamischen Umgebungen. Daher wurde mit dem Start von PAN-OS 8.0 die Autorisierung vom Server TACACS TACACS erweitert.

Resolution


Sie brauchen keine Admins mehr vor Ort zu erstellen, sondern nur die admin-Rollen. Befolgen Sie die folgenden Schritte, um dieses Ziel zu erreichen.

STEP 1: Erstellen Sie ein TACACS Serverprofil und ein Authentifizierungsprofil. Fügen Sie dann dieses Profil in den Authentifizierungseinstellungen hinzu.
Screenshot eines TACACS Serverprofils

Screenshot des Auth-Profils

Screenshot von TAC auth

Rufen Sie das zuvor erstellte Authentifizierungsprofil in diesem Abschnitt


STEP 2 auf: Erstellen von Administratorrollen gemäß Ihren Anforderungen.

Screenshot von Administratorrollen

Benutzerdefinierte Rolle mit eingeschränktem Zugriff
Screenshot von my_custom_role

Beispielberechtigungen für diese benutzerdefinierte Rolle


STEP 3: TACACS Server-Seitenkonfiguration ist die nächste.  I Cisco ACS in diesem Beispiel verwendet.
Screenshot von Admins-Konten auf ACS

Zwei Beispielbenutzer haben eine ACS

NOTEerstellt: Kundenattribute für die firewall und unterscheiden Panorama sich. Im Folgenden finden Sie einige der Attribute, die Sie konfigurieren müssen.
Service: paloalto (erforderlich)
Protokoll: firewall (erforderlich)

Firewall : PaloAlto-Admin-Role
Panorama : PaloAlto- Panorama -Admin-Role

Referenz der folgende Link für weitere Details: https://docs.paloaltonetworks.com/
pan-os /9-0/ pan-os -admin/authentication/authentication-types/tacacs

Beispiel, das in den screenshots unten gezeigt wird, sind für Firewalls. 

Dieses Attribut gewährt einem PA erfolgreich authentifizierenden Administrator berechtigungen, wie es für den benutzerdefinierten Administrator definiert ist.
Screenshot des benutzerdefinierten Benutzershellprofils

Dadurch erhält der Benutzer "Superuser"-Berechtigungen. Sie können jedoch den Wert ersetzen, um einer der vordefinierten Werte (oder sogar ein benutzerdefinierter Wert, wie oben dargestellt) zu sein.
Screenshot des Superuser-Shellprofils

Passen Sie die Regeln an die Benutzer an ihre jeweiligen Shellprofile an.
Screenshot von Regeln


STEP4: Wenn alles richtig konfiguriert ist, sollten Sie erfolgreiche Anmeldungen sehen.

Superuser hat Zugriff auf alles
Screenshot der TAC Superuser-Anmeldung

Beachten Sie deneingeschränkten Zugriff für diesen benutzerdefinierten Benutzer
Screenshot der TAC benutzerdefinierten Benutzeranmeldung

Systemprotokolle mit Logins für beide Administratoren
Screenshot des kombinierten Systemprotokolls

Fehlerbehebung

Die Palo Alto Networks firewall verwenden standardmäßig die Verwaltungsschnittstelle, um mit dem Server zu TACACS kommunizieren. Sie können dies jedoch auf jede Schnittstelle unter Dienstroutenkonfiguration (Registerkarte Gerät) ändern.
Screenshot der Dienstroute

– Mit diesem Testbefehl können Sie auch die Konnektivität, Authentifizierung und die übergebenen Attribute überprüfen:
admin@anuragFW> test authentication authentication-profile TACauth username TACsuperuser password
Enter password :

Target vsys is not specified, user "TACsuperuser" is assumed to be configured with a shared auth profile.

Do allow list check before sending out authentication request...
name "TACsuperuser" is in group "all"

Authentication to TACACS+ server at '10.21.56.103' for user 'TACsuperuser'
Server port: 49, timeout: 3, flag: 0
Egress: 10.21.56.125
Attempting PAP authentication ...
PAP authentication request is created
PAP authentication request is sent
Authorization request is created
Authorization request sent with priv_lvl=1 user=TACsuperuser service=PaloAlto protocol=firewall
Authorization succeeded
Number of VSA returned: 1
 VSA[0]: PaloAlto-Admin-Role=superuser
Authentication succeeded!

Authentication succeeded for user "TACsuperuser"



Manchmal ist das Problem auf der Serverseite, also überprüfen Sie die Protokolle auf dem TACACS Server auch. Wenn Sie die TACACS Pakete entschlüsseln müssen, um den Inhalt anzuzeigen, können Sie ihn auf Wireshark entschlüsseln.
Screenshot der Entschlüsselung

Geben Sie das gemeinsame Geheimnis in das Feld ein.

Es ist immer eine gute Idee, die authd.log-Datei (idealerweise im Debug-Modus) zu überprüfen wenn Sie beheben Probleme im Zusammenhang mit der Authentifizierung.

 

Additional Information


Im obigen Beispiel I wurde nur das Attribut zum Gewähren von Admin-Zugriff auf die firewall verwendet. Es stehen jedoch andere Attribute zur Verfügung, mit denen Sie unterschiedlichen Zugriff auf der und implementieren firewall Panorama können.

Bitte beachten Sie TACACS Attribute.

RADIUS kann auch die gleiche Funktionalität bieten, wenn Sie sich RADIUS für TACACS . Bitte beachten Sie RADIUS mit Windows NPS oder RADIUS mit ACS
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClH7CAK&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language