Wie man Kerberos Authentifizierung in PAN-OS konfiguriert

Wie man Kerberos Authentifizierung in PAN-OS konfiguriert

42209
Created On 09/25/18 17:41 PM - Last Modified 07/27/23 18:57 PM


Resolution


Details

Die Konfiguration eines Kerberos-Servers ermöglicht es Nutzern, sich nativ auf einen Domain-Controller zu authentifizieren. Wenn die Kerberos-Einstellungen konfiguriert sind, wird Kerberos optional zur Verfügung gestellt, wenn Authentifizierungs Profile definiert werden. Empfehlungen zur Konfiguration von Kerberos finden Sie unten:

DNS-Einträge

Wenn Sie Active Directory verwenden, ist es am einfachsten, den AD-DNS-Server als PAN-Firewall-DNS-Server zu verwenden. DNS-Einträge gibt es bereits auf diesem Server, die für die Kerberos-Authentifizierung benötigt werden. Wenn diese Option nicht möglich ist, stellen Sie sicher, dass der DNS-Server, den die PAN verwendet, Service-Location (SRV) DNS-Einträge für _kerberos. _tcp und _kerberos. _udp hat.

Zum Beispiel, wenn es einen aktiven Verzeichnisserver namens W2K3.pantac2.org gibt, wird es auch Service-Location (SRV)-Einträge für _kerberos. _tcp. pantac2. org und _kerberos. _udp. pantac2. org.

Unten ist ein Beispiel von einem Linux-Server, der den bind9 DNS-Server betreibt:

srvce.Prot.Name TTL-Klasse RR PRI Gewicht Port Ziel

     W2K3 IN einem 10.30.14.132

_kerberos. _tcp IN SRV 0 100 88 W2K3

_kerberos. _udp IN SRV 0 100 88 W2K3

NTP-Server

Die Zeit sowohl auf dem Palo Alto Netzwerkgerät als auch auf dem Kerberos Server muss innerhalb von 5 Minuten aufeinander abgestimmt werden. Dies ist ein Sicherheitsmerkmal, das in Kerberos eingebaut ist. Sowohl das Gerät als auch der ANZEIGENserver sollten so konfiguriert sein, dass ein NTP-Server verwendet wird.

GeräteKonfiguration

Erstellen Sie das Kerberos Server Profil. > Device Tab > Server Profile > Kerberos:

Geben Sie den Namen des Profils ein. Für den Benutzer-Account-Namen User@pantac2.orgist das Realm (bis zu 127 Zeichen) das FQDN, "pantac2.org". Geben Sie die Domain für das Benutzerkonto ein (bis zu 63 Zeichen), was in unserem Beispiel "pantac2" ist. Klicken Sie für jeden Server auf Hinzufügen und geben Sie den Servernamen ein. Geben Sie den Server FQDN unter Host ein und geben Sie eine optionale Portnummer für die Kommunikation mit dem Server ein.

doc-1762-1. png

Erstellen Sie ein auth-Profil > Device Tab > Authentifizierungs Profil > neu. Wählen Sie die Authentifizierung "Kerberos" und wählen Sie den Kerberos-Server, der konfiguriert ist. Ein Beispiel ist nachfolgend dargestellt:

doc-1762-2. png

Dieses auth-Profil kann für SSL VPN, Captive Portal oder Administrator Logins verwendet werden. Das obige auth-Profil wurde so konfiguriert, dass alle Authentifizierungs Anfragen den ANZEIGENserver erreichen können. Die Anpassung des auth-Profils ist durch die Verwendung von ANZEIGENgruppen möglich, um festzustellen, welche Benutzer eine Authentifizierungsanfrage an den ANZEIGENserver senden können.

Besitzer: rnitz
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClI0CAK&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language