パロアルトネットワーク管理アクセス TACACS
82215
Created On 09/25/18 17:36 PM - Last Modified 03/26/21 16:25 PM
Symptom
PAN-OS8.0 より前 TACACS のバージョンでは、認証のみに制限されていました。 Web インターフェイスにログインするサーバーに対して認証を行う場合 TACACS 、 または CLI は、Palo Alto Networks デバイス上に同じ管理者アカウントを作成する必要がありました。 これは適切に拡張されず、特に大規模な環境や動的な環境では、追加のオーバーヘッドが発生します。 したがって PAN-OS 、8.0 の起動により、 TACACS サーバーからの認証を使用するように拡張されました TACACS 。
Resolution
もはや管理者、ローカル管理者の役割だけを作成する必要があります。 以下、これを達成するためにステップの下。
STEP 1:サーバー TACACS プロファイルと認証プロファイルを作成します。 次に、このプロファイルを [認証] 設定に追加します。このセクションSTEP2:要件に従って管理者ロールを作成
します。
STEP: TACACS サーバー側の構成が次になります。 I ACSこの例では、Cisco を使用します。
pan-os pan-os
STEP4:すべてが正しく設定されていれば、ログインが成功したことがわかります。
の管理者のログインを示すこのカスタムユーザー
すべてにアクセスできますトラブルシューティング
– このテストコマンドを使用して、接続、認証、および渡された属性を確認することもできます。
admin@anuragFW> test authentication authentication-profile TACauth username TACsuperuser password Enter password : Target vsys is not specified, user "TACsuperuser" is assumed to be configured with a shared auth profile. Do allow list check before sending out authentication request... name "TACsuperuser" is in group "all" Authentication to TACACS+ server at '10.21.56.103' for user 'TACsuperuser' Server port: 49, timeout: 3, flag: 0 Egress: 10.21.56.125 Attempting PAP authentication ... PAP authentication request is created PAP authentication request is sent Authorization request is created Authorization request sent with priv_lvl=1 user=TACsuperuser service=PaloAlto protocol=firewall Authorization succeeded Number of VSA returned: 1 VSA[0]: PaloAlto-Admin-Role=superuser Authentication succeeded! Authentication succeeded for user "TACsuperuser"
サーバー側で問題が発生する場合もあるため、サーバーのログも確認してください TACACS 。 コンテンツを表示するためにパケットを復号化 TACACS する必要がある場合は、Wireshark で復号化できます。
Additional Information
上の例では、 I の管理者アクセス権を付与するためだけに属性を使用 firewall します。 ただし、 および に異なるアクセスを実装するために使用できる属性は他にもあります firewall Panorama 。
TACACS属性を参照してください。
RADIUSまた、 を選択する場合は、 も同じ機能 RADIUS を提供 TACACS できます。 Windows またはRADIUS で NPS参照してくださいRADIUS 。 ACS