帕洛阿尔托网络管理访问通过 TACACS
82213
Created On 09/25/18 17:36 PM - Last Modified 03/26/21 16:25 PM
Symptom
在 PAN-OS 8.0 之前, TACACS 仅限于身份验证。 如果你想通过服务器进行身份验证 TACACS 才能登录到 Web 界面 CLI ,或者,您必须在 Palo Alto 网络设备上创建相同的管理帐户。 这扩展性不好,而且需要额外的间接费用,尤其是在大型或动态环境中。 因此,随着 PAN-OS 8.0 的推出, TACACS 已增强以使用服务器的授权 TACACS 。
Resolution
您不再需要创建管理员本地,只是管理角色。 请按照下面的步骤来实现这一目标。
STEP 1:创建 TACACS 服务器配置文件和身份验证配置文件。 然后,在身份验证设置中添加此配置文件。
STEP 2:根据您的要求创建管理员角色。
STEP3: TACACS 服务器侧配置是下一个。 I ACS在此示例中使用了思科。
https://docs.paloaltonetworks.com/ pan-os /9-0/ pan-os -管理/认证/身份验证类型/tacacs
STEP4:如果所有内容都配置正确,则应看到成功的登录。
的故障排除登录
–您还可以通过此测试命令检查连接、身份验证和通过的属性:
admin@anuragFW> test authentication authentication-profile TACauth username TACsuperuser password Enter password : Target vsys is not specified, user "TACsuperuser" is assumed to be configured with a shared auth profile. Do allow list check before sending out authentication request... name "TACsuperuser" is in group "all" Authentication to TACACS+ server at '10.21.56.103' for user 'TACsuperuser' Server port: 49, timeout: 3, flag: 0 Egress: 10.21.56.125 Attempting PAP authentication ... PAP authentication request is created PAP authentication request is sent Authorization request is created Authorization request sent with priv_lvl=1 user=TACsuperuser service=PaloAlto protocol=firewall Authorization succeeded Number of VSA returned: 1 VSA[0]: PaloAlto-Admin-Role=superuser Authentication succeeded! Authentication succeeded for user "TACsuperuser"
有时问题在服务器端,因此请检查服务器上的日 TACACS 志。 如果您需要解密 TACACS 数据包以查看内容,则可以在 Wireshark 上解密。
Additional Information
在上面的示例 I 中,仅使用属性授予管理员访问 firewall 。 还有其他属性,但是,可供您实现不同的访问 firewall 和 Panorama 。
请参阅TACACS 属性。
RADIUS 也可以提供相同的功能,如果你选择 RADIUS TACACS 。 请参阅RADIUS窗口NPSRADIUS或ACS