Palo Alto Networks Management Access a través de TACACS
Symptom
Antes de PAN-OS las 8.0, TACACS se limitaba únicamente a la autenticación. Si quería autenticarse en un TACACS servidor para iniciar sesión en la interfaz web o , tenía que crear las mismas cuentas de administrador CLI en el dispositivo Palo Alto Networks. Esto no se escala bien y es una sobrecarga adicional, especialmente en entornos grandes o dinámicos. Por lo tanto, con el lanzamiento de PAN-OS 8.0, TACACS se ha mejorado para utilizar la autorización del TACACS servidor.
Resolution
Ya no necesitará crear administradores locales, a los roles de administrador. Siga los pasos para lograrlo.
STEP 1: Cree un TACACS perfil de servidor y un perfil de autenticación. A continuación, agregue este perfil en la configuración de autenticación.
Llame al perfil de autenticación creado previamente en esta sección
STEP 2: Crear roles de administrador según sus requisitos.
Rol personalizado con
permisos de ejemplo de acceso limitado
para este rol personalizado
STEP 3: TACACS la configuración del lado del servidor es la siguiente. I usó Cisco ACS en este ejemplo.
Dos usuarios de ejemplo crearon un ACS .
NOTE: Atributos de cliente para el y firewall son Panorama diferentes. A continuación se muestran algunos de los atributos que debe configurar.
Servicio: Protocolo paloalto
(obligatorio): firewall (obligatorio):
Firewall PaloAlto-Admin-Role
Panorama : PaloAlto- Panorama -Admin-Role
Reference el siguiente enlace para obtener más detalles: https://docs.paloaltonetworks.com/
pan-os /9-0/ pan-os -admin/authentication/authentication-types/tacacs
Ejemplo que se muestra en las capturas de pantalla a continuación son para firewalls.
Este atributo otorga privilegios de nivel de administrador, según el administrador personalizado definido en PA , a un usuario administrador que autentica correctamente.
Esto da privilegios de 'superusuario' al usuario. Sin embargo, puede reemplazar el valor para que sea cualquiera de los valores predefinidos (o incluso un valor personalizado, como se ha ilustrado anteriormente).
Adapte las reglas para que coincidan con los usuarios con sus respectivos perfiles de shell.
STEP4: Si todo está configurado correctamente, debería ver los inicios de sesión correctos.
Superuser tiene acceso a todo
Observe el acceso limitado para este usuariopersonalizado
Registros del sistema que
muestran inicios de sesión para ambos administradores
Solución deproblemas
– También puede comprobar la conectividad, la autenticación y los atributos pasados, con este comando de prueba:
admin@anuragFW> test authentication authentication-profile TACauth username TACsuperuser password Enter password : Target vsys is not specified, user "TACsuperuser" is assumed to be configured with a shared auth profile. Do allow list check before sending out authentication request... name "TACsuperuser" is in group "all" Authentication to TACACS+ server at '10.21.56.103' for user 'TACsuperuser' Server port: 49, timeout: 3, flag: 0 Egress: 10.21.56.125 Attempting PAP authentication ... PAP authentication request is created PAP authentication request is sent Authorization request is created Authorization request sent with priv_lvl=1 user=TACsuperuser service=PaloAlto protocol=firewall Authorization succeeded Number of VSA returned: 1 VSA[0]: PaloAlto-Admin-Role=superuser Authentication succeeded! Authentication succeeded for user "TACsuperuser"
A veces el problema está en el lado del servidor, así que marque los registros en el TACACS servidor también. Si necesita descifrar los TACACS paquetes para ver el contenido, puede descifrarlo en Wireshark.
Introduzca el secreto compartido en el cuadro
Additional Information
En el ejemplo anterior, I solo se utilizó el atributo para conceder acceso de administrador en el archivo firewall . Hay otros atributos, sin embargo, disponibles para que implemente un acceso diferente en el firewall y Panorama .
Consulte los TACACS atributos.
RADIUS también puede proporcionar la misma funcionalidad, si elige RADIUS más de TACACS . Por favor, consulte RADIUS con Windows NPS o RADIUS con ACS