パロアルトネットワーク管理アクセス TACACS

パロアルトネットワーク管理アクセス TACACS

82215
Created On 09/25/18 17:36 PM - Last Modified 03/26/21 16:25 PM


Symptom


PAN-OS8.0 より前 TACACS のバージョンでは、認証のみに制限されていました。 Web インターフェイスにログインするサーバーに対して認証を行う場合 TACACS 、 または CLI は、Palo Alto Networks デバイス上に同じ管理者アカウントを作成する必要がありました。 これは適切に拡張されず、特に大規模な環境や動的な環境では、追加のオーバーヘッドが発生します。 したがって PAN-OS 、8.0 の起動により、 TACACS サーバーからの認証を使用するように拡張されました TACACS 。

Resolution


もはや管理者、ローカル管理者の役割だけを作成する必要があります。 以下、これを達成するためにステップの下。

STEP 1:サーバー TACACS プロファイルと認証プロファイルを作成します。 次に、このプロファイルを [認証] 設定に追加します。このセクションSTEP2:要件に従って管理者ロールを作成
サーバー プロファイルのスクリーンショット TACACS

認証プロファイルのスクリーンショット

認証のスクリーンショット TAC

するで、以前に作成した認証プロファイルを呼び出


します。

管理者ロールのスクリーンショット

アクセスが制限されたカスタム ロール
my_custom_roleのスクリーンショット

このカスタム ロールのアクセス許可の例


STEP: TACACS サーバー側の構成が次になります。  I ACSこの例では、Cisco を使用します。
管理者アカウントのスクリーンショット ACS

2 人の例のユーザーが作成した ACS .

NOTE:顧客属性 と の属性 firewall Panorama は異なります。 構成する必要がある属性の一部を次に示します。
サービス: paloalto (必須)
プロトコル firewall : (必須)

Firewall : パロアルト管理ロール
Panorama : PaloAlto- Panorama -Admin-Role

詳細については次のリンクを参照 https://docs.paloaltonetworks.com/ してください。
pan-os pan-os

 

この属性は、 で定義されたカスタム管理者に従って、 PA 管理者レベルの権限を、正常に認証された管理者ユーザーに与えます。
カスタム ユーザー シェル プロファイルのスクリーンショット

これにより、ユーザーに「スーパーユーザー」権限が与えられます。 ただし、事前定義された値 (または上記のカスタム値) の値を置き換えることができます。
スーパーユーザーのシェルプロファイルのスクリーンショット

それぞれのシェル・プロファイルを使用してユーザーを一致させる規則を調整します。
ルールのスクリーンショット


STEP4:すべてが正しく設定されていれば、ログインが成功したことがわかります。

スーパーユーザーは、両方
TACスーパーユーザーログインのスクリーンショット

の管理者のログインを示すこのカスタムユーザーカスタム TAC ユーザー ログインのスクリーンショット

のシステムログ
結合システム ログのスクリーンショット

の制限されたアクセスに注意してください
すべてにアクセスできますトラブルシューティング

パロアルトネットワークスは firewall 、デフォルトでは、管理インターフェイスを使用してサーバと通信 TACACS します。 ただし、[サービス ルート設定]([デバイス]タブ)の任意のインターフェイスに変更できます。
サービスルートのスクリーンショット

– このテストコマンドを使用して、接続、認証、および渡された属性を確認することもできます。
admin@anuragFW> test authentication authentication-profile TACauth username TACsuperuser password
Enter password :

Target vsys is not specified, user "TACsuperuser" is assumed to be configured with a shared auth profile.

Do allow list check before sending out authentication request...
name "TACsuperuser" is in group "all"

Authentication to TACACS+ server at '10.21.56.103' for user 'TACsuperuser'
Server port: 49, timeout: 3, flag: 0
Egress: 10.21.56.125
Attempting PAP authentication ...
PAP authentication request is created
PAP authentication request is sent
Authorization request is created
Authorization request sent with priv_lvl=1 user=TACsuperuser service=PaloAlto protocol=firewall
Authorization succeeded
Number of VSA returned: 1
 VSA[0]: PaloAlto-Admin-Role=superuser
Authentication succeeded!

Authentication succeeded for user "TACsuperuser"



サーバー側で問題が発生する場合もあるため、サーバーのログも確認してください TACACS 。 コンテンツを表示するためにパケットを復号化 TACACS する必要がある場合は、Wireshark で復号化できます。
復号化のスクリーンショット

ボックスに共有シークレットを入力します。

それは常に良いアイデア (理想的にはデバッグ モード) authd.log ファイルをチェックするときのトラブルシューティングを行う認証関連の問題。

 

Additional Information


上の例では、 I の管理者アクセス権を付与するためだけに属性を使用 firewall します。 ただし、 および に異なるアクセスを実装するために使用できる属性は他にもあります firewall Panorama 。

TACACS属性を参照してください。

RADIUSまた、 を選択する場合は、 も同じ機能 RADIUS を提供 TACACS できます。 Windows またはRADIUS で NPS参照してくださいRADIUS 。 ACS
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClH7CAK&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language