帕洛阿尔托网络管理访问通过 TACACS

帕洛阿尔托网络管理访问通过 TACACS

82213
Created On 09/25/18 17:36 PM - Last Modified 03/26/21 16:25 PM


Symptom


在 PAN-OS 8.0 之前, TACACS 仅限于身份验证。 如果你想通过服务器进行身份验证 TACACS 才能登录到 Web 界面 CLI ,或者,您必须在 Palo Alto 网络设备上创建相同的管理帐户。 这扩展性不好,而且需要额外的间接费用,尤其是在大型或动态环境中。 因此,随着 PAN-OS 8.0 的推出, TACACS 已增强以使用服务器的授权 TACACS 。

Resolution


您不再需要创建管理员本地,只是管理角色。 请按照下面的步骤来实现这一目标。

STEP 1:创建 TACACS 服务器配置文件和身份验证配置文件。 然后,在身份验证设置中添加此配置文件。
TACACS服务器配置文件的屏幕截图

奥斯配置文件的屏幕截图

身份验证的屏幕截图 TAC

调用本节中先前创建的身份验证配置文件


STEP 2:根据您的要求创建管理员角色。

管理角色的屏幕截图

自定义角色与有限的访问
my_custom_role截图

样本权限为此自定义角色


STEP3: TACACS 服务器侧配置是下一个。  I ACS在此示例中使用了思科。
管理员帐户的屏幕截图 ACS

两个例子用户创建了一个 ACS

NOTE:客户属性的 firewall 和 Panorama 不同的。 以下是您需要配置的一些属性。
服务: paloalto (必需)
协议 firewall : (要求)

Firewall : 帕洛阿托管理角色
Panorama : 帕洛阿托 Panorama - 行政角色

参考以下链接以了解其他详细信息:
https://docs.paloaltonetworks.com/ pan-os /9-0/ pan-os -管理/认证/身份验证类型/tacacs

示例如下所示用于防火墙。 

此属性根据定义的自定义管理员 PA 向成功身份验证管理员用户提供管理员级别特权。
自定义用户壳配置文件的屏幕截图

这为用户提供了"超级用户"特权。 但是,您可以将值替换为任何预先定义的值(甚至如上图所示的自定义值)。
超使用器外壳配置文件的屏幕截图

定制规则,使用户与其各自的外壳配置文件相匹配。
规则截图


STEP4:如果所有内容都配置正确,则应看到成功的登录。

超级用户有权访问所有内容
TAC超级使用者登录的屏幕截图

请注意此自定义用户系统日志的有限访问权限,
TAC自定义用户登录的屏幕截图

该日志显示两个管理员
组合系统日志的屏幕截图

的故障排除登录

默认情况下,帕洛阿尔托网络 firewall 使用管理界面与 TACACS 服务器通信。 但是,您可以将此更改为服务路由配置(设备选项卡)下的任何接口。
服务路线截图

–您还可以通过此测试命令检查连接、身份验证和通过的属性:
admin@anuragFW> test authentication authentication-profile TACauth username TACsuperuser password
Enter password :

Target vsys is not specified, user "TACsuperuser" is assumed to be configured with a shared auth profile.

Do allow list check before sending out authentication request...
name "TACsuperuser" is in group "all"

Authentication to TACACS+ server at '10.21.56.103' for user 'TACsuperuser'
Server port: 49, timeout: 3, flag: 0
Egress: 10.21.56.125
Attempting PAP authentication ...
PAP authentication request is created
PAP authentication request is sent
Authorization request is created
Authorization request sent with priv_lvl=1 user=TACsuperuser service=PaloAlto protocol=firewall
Authorization succeeded
Number of VSA returned: 1
 VSA[0]: PaloAlto-Admin-Role=superuser
Authentication succeeded!

Authentication succeeded for user "TACsuperuser"



有时问题在服务器端,因此请检查服务器上的日 TACACS 志。 如果您需要解密 TACACS 数据包以查看内容,则可以在 Wireshark 上解密。
解密的屏幕截图

在框中输入共享的秘密

它始终是一个好主意,检查 authd.log 文件 (最好是在调试模式下) 当您正在进行故障排除身份验证相关问题。

 

Additional Information


在上面的示例 I 中,仅使用属性授予管理员访问 firewall 。 还有其他属性,但是,可供您实现不同的访问 firewall 和 Panorama 。

请参阅TACACS 属性

RADIUS 也可以提供相同的功能,如果你选择 RADIUS TACACS 。 请参阅RADIUS窗口NPSRADIUS或ACS
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClH7CAK&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language