如何在 PAN OS 中配置 Kerberos 身份验证
Resolution
详细
配置 Kerberos 服务器允许用户对域控制器进行本机身份验证。配置 kerberos 设置后, 在定义身份验证配置文件时, kerberos 将成为可用的选项。下面提供了配置 Kerberos 的建议:
DNS 条目
如果使用活动目录, 则最容易使用 AD dns 服务器作为 PAN 防火墙 dns 服务器。此服务器上已存在 Kerberos 身份验证所需的 DNS 项。如果无法使用此选项, 请确保 PAN 所用的 dns 服务器具有 _kerberos _tcp 和 _kerberos 的服务位置 (SRV) dns 条目. _udp。
例如, 如果有一个名为 w2k3.pantac2.org 的活动目录服务器, 则它还需要 _kerberos 的服务位置 (SRV) 项. _tcp pantac2. _kerberos. _udp。
下面是运行 Bind9 DNS 服务器的 linux 服务器的一个示例:
srvce.prot.name ttl 类 rr 重端口目标
w2k3 在10.30.14.132
_kerberos. _tcp 在 SRV 0 100 88 w2k3
_kerberos. _udp 在 SRV 0 100 88 w2k3
NTP 服务器
帕洛阿尔托网络设备和 Kerberos 服务器上的时间需要在5分钟内同步。这是在 Kerberos 中内置的安全功能。设备和 AD 服务器都应配置为使用 NTP 服务器。
设备配置
创建 Kerberos 服务器配置文件。>> 设备选项卡 > 服务器配置文件 > Kerberos:
输入配置文件的名称。对于用户帐户名user@pantac2.org user@pantac2, 该领域 (最多127个字符) 是 FQDN "pantac2.org". 输入用户帐户的域 (最多63个字符). 在我们的例子中是 "pantac2"。对于每个服务器, 单击 "添加" 并输入服务器名称。在 "主机" 下输入服务器 FQDN, 然后输入可选的端口号, 以便与服务器进行通信。
创建授权配置文件 > 设备选项卡 > 身份验证配置文件全新。 选择身份验证 "kerberos", 并确保选择配置的 kerberos 服务器。下面显示了一个示例:
此身份验证配置文件可用于 SSL VPN、固定门户或管理员登录。上述授权配置文件配置为允许所有身份验证请求到达 AD 服务器。通过使用 AD 组来确定哪些用户可以向 AD 服务器发送身份验证请求, 可以自定义授权配置文件。
所有者: rnitz