Cómo configurar la autenticación Kerberos en PAN-OS

Cómo configurar la autenticación Kerberos en PAN-OS

42215
Created On 09/25/18 17:41 PM - Last Modified 07/27/23 18:57 PM


Resolution


Detalles

La configuración de un servidor Kerberos permite a los usuarios autenticarse de forma nativa en un controlador de dominio. Cuando se configuran los valores de Kerberos, Kerberos se pone a disposición como una opción al definir perfiles de autenticación. A continuación se proporcionan recomendaciones para configurar Kerberos:

Entradas DNS

Si se utiliza Active Directory, es más fácil utilizar el servidor de DNS de anuncios que el servidor de DNS de PAN Firewall. Las entradas DNS ya existen en este servidor que se necesitan para la autenticación Kerberos. Si esta opción no es posible, asegúrese de que el servidor DNS que utiliza la bandeja tiene entradas DNS de ubicación de servicio (SRV) para Kerberos. _tcp y Kerberos. UDP.

Por ejemplo, si hay un servidor de Active Directory denominado W2K3.pantac2.org, también necesitará entradas de ubicación de servicio (SRV) para Kerberos. _tcp. pantac2. org y Kerberos. UDP. pantac2. org.

A continuación se muestra un ejemplo de un servidor Linux que ejecuta el servidor DNS bind9:

destino de puerto de peso srvce.Prot.Name TTL clase RR PRI

     W2K3 en un 10.30.14.132

Kerberos. _tcp IN SRV 0 100 88 W2K3

Kerberos. UDP IN SRV 0 100 88 W2K3

Servidor NTP

El tiempo tanto en el dispositivo de red de palo alto como en el servidor Kerberos debe sincronizarse en 5 minutos entre sí. Esta es una característica de seguridad integrada en Kerberos. Tanto el dispositivo como el servidor de anuncios deben configurarse para utilizar un servidor NTP.

Configuración del dispositivo

Cree el perfil del servidor Kerberos. > Ficha del dispositivo > perfiles de servidor > Kerberos:

Introduzca el nombre del perfil. Para el nombre de cuenta de usuario User@pantac2.org, el Reino (hasta 127 caracteres) es el FQDN, "pantac2.org". Ingrese el dominio para la cuenta de usuario (hasta 63 caracteres). que en nuestro ejemplo es "pantac2". Para cada servidor, haga clic en Agregar e introduzca el nombre del servidor. Introduzca el FQDN del servidor en host e introduzca un número de puerto opcional para comunicarse con el servidor.

doc-1762-1. png

Crear un perfil auth > ficha del dispositivo > Perfil de autenticación > nuevo. Seleccione autenticación "Kerberos" y asegúrese de seleccionar el servidor Kerberos configurado. A continuación se muestra un ejemplo:

doc-1762-2. png

Este perfil de auth se puede utilizar para VPN SSL, portal cautivo o inicios de sesión de administrador. El perfil auth anterior se configuró para permitir que todas las solicitudes de autenticación llegaran al servidor de anuncios. La personalización del perfil auth es posible mediante el uso de grupos de anuncios para determinar qué usuarios pueden enviar una solicitud de autenticación al servidor de anuncios.

Propietario: rnitz
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClI0CAK&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language