Cómo configurar la autenticación Kerberos en PAN-OS
Resolution
Detalles
La configuración de un servidor Kerberos permite a los usuarios autenticarse de forma nativa en un controlador de dominio. Cuando se configuran los valores de Kerberos, Kerberos se pone a disposición como una opción al definir perfiles de autenticación. A continuación se proporcionan recomendaciones para configurar Kerberos:
Entradas DNS
Si se utiliza Active Directory, es más fácil utilizar el servidor de DNS de anuncios que el servidor de DNS de PAN Firewall. Las entradas DNS ya existen en este servidor que se necesitan para la autenticación Kerberos. Si esta opción no es posible, asegúrese de que el servidor DNS que utiliza la bandeja tiene entradas DNS de ubicación de servicio (SRV) para Kerberos. _tcp y Kerberos. UDP.
Por ejemplo, si hay un servidor de Active Directory denominado W2K3.pantac2.org, también necesitará entradas de ubicación de servicio (SRV) para Kerberos. _tcp. pantac2. org y Kerberos. UDP. pantac2. org.
A continuación se muestra un ejemplo de un servidor Linux que ejecuta el servidor DNS bind9:
destino de puerto de peso srvce.Prot.Name TTL clase RR PRI
W2K3 en un 10.30.14.132
Kerberos. _tcp IN SRV 0 100 88 W2K3
Kerberos. UDP IN SRV 0 100 88 W2K3
Servidor NTP
El tiempo tanto en el dispositivo de red de palo alto como en el servidor Kerberos debe sincronizarse en 5 minutos entre sí. Esta es una característica de seguridad integrada en Kerberos. Tanto el dispositivo como el servidor de anuncios deben configurarse para utilizar un servidor NTP.
Configuración del dispositivo
Cree el perfil del servidor Kerberos. > Ficha del dispositivo > perfiles de servidor > Kerberos:
Introduzca el nombre del perfil. Para el nombre de cuenta de usuario User@pantac2.org, el Reino (hasta 127 caracteres) es el FQDN, "pantac2.org". Ingrese el dominio para la cuenta de usuario (hasta 63 caracteres). que en nuestro ejemplo es "pantac2". Para cada servidor, haga clic en Agregar e introduzca el nombre del servidor. Introduzca el FQDN del servidor en host e introduzca un número de puerto opcional para comunicarse con el servidor.
Crear un perfil auth > ficha del dispositivo > Perfil de autenticación > nuevo. Seleccione autenticación "Kerberos" y asegúrese de seleccionar el servidor Kerberos configurado. A continuación se muestra un ejemplo:
Este perfil de auth se puede utilizar para VPN SSL, portal cautivo o inicios de sesión de administrador. El perfil auth anterior se configuró para permitir que todas las solicitudes de autenticación llegaran al servidor de anuncios. La personalización del perfil auth es posible mediante el uso de grupos de anuncios para determinar qué usuarios pueden enviar una solicitud de autenticación al servidor de anuncios.
Propietario: rnitz