Palo Alto Networks Management Access über TACACS
Symptom
Vor PAN-OS 8.0 war die TACACS Datei auf Nur Authentifizierung beschränkt. Wenn Sie sich gegen einen Server authentifizieren möchten, TACACS um sich bei der Weboberfläche anzumelden, oder , mussten Sie dieselben CLI Administratorkonten auf dem Palo Alto Networks-Gerät erstellen. Dies lässt sich nicht gut skalieren und ist zusätzlicher Overhead, insbesondere in großen oder dynamischen Umgebungen. Daher wurde mit dem Start von PAN-OS 8.0 die Autorisierung vom Server TACACS TACACS erweitert.
Resolution
Sie brauchen keine Admins mehr vor Ort zu erstellen, sondern nur die admin-Rollen. Befolgen Sie die folgenden Schritte, um dieses Ziel zu erreichen.
STEP 1: Erstellen Sie ein TACACS Serverprofil und ein Authentifizierungsprofil. Fügen Sie dann dieses Profil in den Authentifizierungseinstellungen hinzu.
STEP 2 auf: Erstellen von Administratorrollen gemäß Ihren Anforderungen.
STEP 3: TACACS Server-Seitenkonfiguration ist die nächste. I Cisco ACS in diesem Beispiel verwendet.
pan-os /9-0/ pan-os -admin/authentication/authentication-types/tacacs
STEP4: Wenn alles richtig konfiguriert ist, sollten Sie erfolgreiche Anmeldungen sehen.
Beachten Sie den
Fehlerbehebung
– Mit diesem Testbefehl können Sie auch die Konnektivität, Authentifizierung und die übergebenen Attribute überprüfen:
admin@anuragFW> test authentication authentication-profile TACauth username TACsuperuser password Enter password : Target vsys is not specified, user "TACsuperuser" is assumed to be configured with a shared auth profile. Do allow list check before sending out authentication request... name "TACsuperuser" is in group "all" Authentication to TACACS+ server at '10.21.56.103' for user 'TACsuperuser' Server port: 49, timeout: 3, flag: 0 Egress: 10.21.56.125 Attempting PAP authentication ... PAP authentication request is created PAP authentication request is sent Authorization request is created Authorization request sent with priv_lvl=1 user=TACsuperuser service=PaloAlto protocol=firewall Authorization succeeded Number of VSA returned: 1 VSA[0]: PaloAlto-Admin-Role=superuser Authentication succeeded! Authentication succeeded for user "TACsuperuser"
Manchmal ist das Problem auf der Serverseite, also überprüfen Sie die Protokolle auf dem TACACS Server auch. Wenn Sie die TACACS Pakete entschlüsseln müssen, um den Inhalt anzuzeigen, können Sie ihn auf Wireshark entschlüsseln.
Additional Information
Im obigen Beispiel I wurde nur das Attribut zum Gewähren von Admin-Zugriff auf die firewall verwendet. Es stehen jedoch andere Attribute zur Verfügung, mit denen Sie unterschiedlichen Zugriff auf der und implementieren firewall Panorama können.
Bitte beachten Sie TACACS Attribute.
RADIUS kann auch die gleiche Funktionalität bieten, wenn Sie sich RADIUS für TACACS . Bitte beachten Sie RADIUS mit Windows NPS oder RADIUS mit ACS