Palo Alto Networks Management Access a través de TACACS
Symptom
Antes de PAN-OS las 8.0, TACACS se limitaba únicamente a la autenticación. Si quería autenticarse en un TACACS servidor para iniciar sesión en la interfaz web o , tenía que crear las mismas cuentas de administrador CLI en el dispositivo Palo Alto Networks. Esto no se escala bien y es una sobrecarga adicional, especialmente en entornos grandes o dinámicos. Por lo tanto, con el lanzamiento de PAN-OS 8.0, TACACS se ha mejorado para utilizar la autorización del TACACS servidor.
Resolution
Ya no necesitará crear administradores locales, a los roles de administrador. Siga los pasos para lograrlo.
STEP 1: Cree un TACACS perfil de servidor y un perfil de autenticación. A continuación, agregue este perfil en la configuración de autenticación.
STEP 2: Crear roles de administrador según sus requisitos.
permisos de ejemplo de acceso limitado
STEP 3: TACACS la configuración del lado del servidor es la siguiente. I usó Cisco ACS en este ejemplo.
pan-os /9-0/ pan-os -admin/authentication/authentication-types/tacacs
STEP4: Si todo está configurado correctamente, debería ver los inicios de sesión correctos.
Observe el acceso limitado para este usuario
Registros del sistema que
Solución deproblemas
– También puede comprobar la conectividad, la autenticación y los atributos pasados, con este comando de prueba:
admin@anuragFW> test authentication authentication-profile TACauth username TACsuperuser password Enter password : Target vsys is not specified, user "TACsuperuser" is assumed to be configured with a shared auth profile. Do allow list check before sending out authentication request... name "TACsuperuser" is in group "all" Authentication to TACACS+ server at '10.21.56.103' for user 'TACsuperuser' Server port: 49, timeout: 3, flag: 0 Egress: 10.21.56.125 Attempting PAP authentication ... PAP authentication request is created PAP authentication request is sent Authorization request is created Authorization request sent with priv_lvl=1 user=TACsuperuser service=PaloAlto protocol=firewall Authorization succeeded Number of VSA returned: 1 VSA[0]: PaloAlto-Admin-Role=superuser Authentication succeeded! Authentication succeeded for user "TACsuperuser"
A veces el problema está en el lado del servidor, así que marque los registros en el TACACS servidor también. Si necesita descifrar los TACACS paquetes para ver el contenido, puede descifrarlo en Wireshark.
Additional Information
En el ejemplo anterior, I solo se utilizó el atributo para conceder acceso de administrador en el archivo firewall . Hay otros atributos, sin embargo, disponibles para que implemente un acceso diferente en el firewall y Panorama .
Consulte los TACACS atributos.
RADIUS también puede proporcionar la misma funcionalidad, si elige RADIUS más de TACACS . Por favor, consulte RADIUS con Windows NPS o RADIUS con ACS