Palo Alto Networks Management Access through Palo Alto Networks Management Access through Palo Alto Networks Management Access through Palo Alto TACACS
Symptom
Avant PAN-OS 8.0, était limité TACACS à l’authentification seulement. Si vous vouliez vous authentifier contre TACACS un serveur pour vous connecter à l’interface Web ou , vous de aviez à créer les mêmes comptes admin sur CLI l’appareil Palo Alto Networks. Cela ne fonctionne pas bien et c’est frais généraux supplémentaires, en particulier dans les environnements grands ou dynamiques. Par conséquent, avec le lancement de PAN-OS 8.0, TACACS a été améliorée pour utiliser l’autorisation du TACACS serveur.
Resolution
Plus besoin créer des admins localement, seulement les rôles d’administrateur. Suivez les étapes ci-dessous afin d’atteindre cet objectif.
STEP 1: Créez un profil TACACS de serveur et un profil d’authentification. Ensuite, ajoutez ce profil dans les paramètres d’authentification.
STEP 2 : Créez des rôles d’administrateur selon votre exigence.
personnaliséSTEP 3 : la configuration latérale du serveur est la TACACS suivante. I utilisé Cisco ACS dans cet exemple.
https://docs.paloaltonetworks.com/ pan-os /9-0/ pan-os -admin/authentification/authentification-types/tacacs
STEP4: Si tout est configuré correctement, vous devriez voir des connexions réussies.
journaux montrant les
Dépannage
– Vous pouvez également vérifier la connectivité, l’authentification et les attributs passés, avec cette commande de test :
admin@anuragFW> test authentication authentication-profile TACauth username TACsuperuser password Enter password : Target vsys is not specified, user "TACsuperuser" is assumed to be configured with a shared auth profile. Do allow list check before sending out authentication request... name "TACsuperuser" is in group "all" Authentication to TACACS+ server at '10.21.56.103' for user 'TACsuperuser' Server port: 49, timeout: 3, flag: 0 Egress: 10.21.56.125 Attempting PAP authentication ... PAP authentication request is created PAP authentication request is sent Authorization request is created Authorization request sent with priv_lvl=1 user=TACsuperuser service=PaloAlto protocol=firewall Authorization succeeded Number of VSA returned: 1 VSA[0]: PaloAlto-Admin-Role=superuser Authentication succeeded! Authentication succeeded for user "TACsuperuser"
Parfois, le problème est du côté du serveur, alors vérifiez les journaux sur le TACACS serveur aussi. Si vous devez décrypter les TACACS paquets pour afficher le contenu, vous pouvez le décrypter sur Wireshark.
Additional Information
Dans l’exemple ci-dessus, I seulement utilisé l’attribut pour accorder l’accès admin sur le firewall . Il ya d’autres attributs, cependant, disponible pour vous de mettre en œuvre un accès différent sur firewall le et Panorama .
S’il vous plaît se TACACS référer à des attributs.
RADIUS peut également fournir la même fonctionnalité, si vous choisissez RADIUS TACACS plus . S’il vous RADIUS plaît se référer à Avec Windows NPS ou RADIUS avec ACS