Comment faire pour configurer l'Authentification Kerberos dans PAN-OS

Comment faire pour configurer l'Authentification Kerberos dans PAN-OS

42211
Created On 09/25/18 17:41 PM - Last Modified 07/27/23 18:57 PM


Resolution


Détails

La configuration d'un serveur Kerberos permet aux utilisateurs d'authentifier nativement un contrôleur de domaine. Lorsque les paramètres Kerberos sont configurés, Kerberos devient disponible en tant qu'option lors de la définition des profils d'Authentification. Les recommandations pour la configuration de Kerberos sont fournies ci-dessous:

Entrées DNS

Si vous utilisez Active Directory, il est plus facile d'utiliser le serveur DNS AD comme serveur DNS PAN Firewall. Les entrées DNS existent déjà sur ce serveur qui sont nécessaires pour l'authentification Kerberos. Si cette option n'est pas possible, assurez-vous que le serveur DNS utilisé par le Pan possède des entrées DNS d'emplacement de service (SRV) pour _KERBEROS. _tcp et _KERBEROS. _udp.

Par exemple, S'il existe un serveur Active Directory nommé W2K3.pantac2.org, il nécessitera également des entrées d'emplacement de service (SRV) pour _KERBEROS. _tcp. pantac2. org et _KERBEROS. _udp. pantac2. org.

Voici un exemple d'un serveur Linux exécutant le serveur DNS bind9:

srvce.prot.Name TTL classe RR PRI port de poids cible

     W2K3 dans un 10.30.14.132

_KERBEROS. _tcp dans SRV 0 100 88 W2K3

_KERBEROS. _udp dans SRV 0 100 88 W2K3

Serveur NTP

Le temps à la fois sur le périphérique réseau Palo Alto et le serveur Kerberos doivent être synchronisés dans les 5 minutes les uns des autres. Il s'agit d'une fonctionnalité de sécurité intégrée à Kerberos. Le périphérique et le serveur publicitaire doivent être configurés pour utiliser un serveur NTP.

Configuration du périphérique

Créez le profil de serveur Kerberos. > Onglet dispositif > serveur profils > Kerberos:

Saisissez le nom du profil. Pour le nom de compte d'utilisateur User@pantac2.org, le domaine (jusqu'à 127 caractères) est le FQDN, «pantac2.org». Entrez le domaine du compte d'utilisateur (jusqu'à 63 caractères). qui dans notre exemple est "pantac2". Pour chaque serveur, cliquez sur Ajouter et entrez le nom du serveur. Entrez le nom de domaine complet du serveur sous hôte et saisissez un numéro de port optionnel pour la communication avec le serveur.

doc-1762-1. png

Créer un profil auth > onglet périphérique > authentification profil > nouveau. Sélectionnez authentification "Kerberos" et assurez-vous de sélectionner le serveur Kerberos configuré. Un exemple est illustré ci-dessous :

doc-1762-2. png

Ce profil auth peut être utilisé pour les connexions VPN SSL, portail captif ou administrateur. Le profil auth ci-dessus a été configuré pour permettre à toutes les demandes d'Authentification d'atteindre le serveur publicitaire. La personnalisation du profil auth est possible en utilisant des groupes d'annonces pour déterminer quels utilisateurs peuvent envoyer une demande d'Authentification au serveur d'annonces.

propriétaire: rnitz
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClI0CAK&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language