Palo Alto Networks Management Access through Palo Alto Networks Management Access through Palo Alto Networks Management Access through Palo Alto TACACS

Plus besoin créer des admins localement, seulement les rôles d’administrateur. Suivez les étapes ci-dessous afin d’atteindre cet objectif.

STEP 1: Créez un profil TACACS de serveur et un profil d’authentification. Ensuite, ajoutez ce profil dans les paramètres d’authentification.






Appelez le profil d’authentification précédemment créé dans cette section


STEP 2 : Créez des rôles d’administrateur selon votre exigence.

Rôle personnalisé avec accès limité Exemples


d’autorisations pour ce rôle


personnaliséSTEP 3 : la configuration latérale du serveur est la TACACS suivante.  I utilisé Cisco ACS dans cet exemple.


Deux exemples d’utilisateurs ont ACS créé un .

NOTE: Attributs clients pour le et firewall sont Panorama différents. Voici quelques-uns des attributs que vous devez configurer.
Service: paloalto (requis)
Protocole: firewall (requis)

Firewall : PaloAlto-Admin-Role
Panorama : PaloAlto- -Admin-Role Référence le lien suivant pour plus de Panorama

détails:
https://docs.paloaltonetworks.com/ pan-os /9-0/ pan-os -admin/authentification/authentification-types/tacacs

Exemple montré dans les captures d’écran ci-dessous sont pour les pare-feu. 

Cet attribut donne des privilèges de niveau admin, selon l’administrateur personnalisé défini sur PA , à un utilisateur admin authentification réussie.


Cela donne des privilèges de « superutilisateur » à l’utilisateur. Toutefois, vous pouvez remplacer la valeur pour être l’une des valeurs prédéfinis (ou même une valeur personnalisée, comme illustré ci-dessus).


Adaptez les règles pour faire correspondre les utilisateurs avec leurs profils shell respectifs.



STEP4: Si tout est configuré correctement, vous devriez voir des connexions réussies.

Superuser a accès à tout Remarquez


l’accès limité pour ce système utilisateur personnalisé
journaux montrant les

connexions pour les deux admins


Dépannage

admin@anuragFW> test authentication authentication-profile TACauth username TACsuperuser password
Enter password :

Target vsys is not specified, user "TACsuperuser" is assumed to be configured with a shared auth profile.

Do allow list check before sending out authentication request...
name "TACsuperuser" is in group "all"

Authentication to TACACS+ server at '10.21.56.103' for user 'TACsuperuser'
Server port: 49, timeout: 3, flag: 0
Egress: 10.21.56.125
Attempting PAP authentication ...
PAP authentication request is created
PAP authentication request is sent
Authorization request is created
Authorization request sent with priv_lvl=1 user=TACsuperuser service=PaloAlto protocol=firewall
Authorization succeeded
Number of VSA returned: 1
 VSA[0]: PaloAlto-Admin-Role=superuser
Authentication succeeded!

Authentication succeeded for user "TACsuperuser"

Parfois, le problème est du côté du serveur, alors vérifiez les journaux sur le TACACS serveur aussi. Si vous devez décrypter les TACACS paquets pour afficher le contenu, vous pouvez le décrypter sur Wireshark.


Entrez le secret partagé dans la boîte