So konfigurieren Sie die Tacacs-Authentifizierung mit Palo Alto Networks firewall

So konfigurieren Sie die Tacacs-Authentifizierung mit Palo Alto Networks firewall

79179
Created On 09/25/18 17:42 PM - Last Modified 04/19/21 16:41 PM


Symptom


Palo Alto Networks begann, Tacacs mit der Veröffentlichung von PAN-OS 7.0 zu unterstützen. In diesem Dokument werden die Schritte zum Konfigurieren der Tacacs-Authentifizierung in Palo Alto-Netzwerken firewall mit schreibgeschützten zugriffs- und Lese-/Schreibzugriffsberechtigungen mit ACS Cisco-Server erläutert.

Environment


  • Palo Alto Firewall .
  • Jede PAN-OS .
  • TACACS Konfiguration.

Resolution


 
  1. Erstellen Sie ein Tacacs-Serverprofil, fügen Sie Serverinformationen hinzu.Wenn ein sekundärer Backup-Tacacs-Server verfügbar ist, fügen Sie ihn auch hinzu ( GUI : Device > Server Profiles > Tacacs+)
Tacacs-Serverprofil
 
  1. Erstellen Sie ein Authentifizierungsprofil, und verwenden Sie das zuvor erstellte Tacacs-Serverprofil ( GUI : Device > Authentication Profile).
Authentifizierungsprofil

Authentifizierungsprofil - Erweiterte Registerkarte
  1. Standardmäßig haben wir 3 Administratorrollen ( GUI : Device > Admin Roles).
  • auditadmin
  • cryptoadmin
  • Securityadmin
In diesem Beispiel wird die Securityadmin-Rolle für READ_WRITE-Zugriff und die in Schritt4 erstellte schreibgeschützte Rolle für den schreibgeschützten Zugriff verwendet.
Admin-Roles
 
  1. Erstellen Sie eine weitere admin-Rolle mit eingeschränktem Zugriff. In diesem Beispiel wird die schreibgeschützte Rolle mit Richtlinien, Objekten, Netzwerkenund Geräten erstellt, die deaktiviert sind. ( GUI : Gerät > Admin-Rollen)
Nur Leseprofil
  1. Administratoren müssen individuell definiert werden, da derzeit nur RADIUS für die nicht-lokale admin-Authentifizierung, wie VSAs, unterstützt wird. Hinweis: Nach PAN-OS 8.0 und vorwärts müssen Sie keine Administratoren mehr lokal erstellen, sondern nur noch die Administratorrollen. ( GUI : Geräte->-Administratoren)
    Geräteadministratoren
     
  2. Erstellen Sie auf dem ACS Cisco-Server eine Liste der Benutzernamen, die lokal in den Palo Alto-Netzwerken definiert sind.

  3. Erstellen eines Shell-Profils mit diesen Details:
    Attribut: Cisco-av-pair
    Anforderung: Obligatorischer
    Wert: shell:priv-lvl=15

  4. Erstellen Sie eine Policy Autorisierung, und wenden Sie das zuvor erstellte Shellprofil an.

  5. Hier sind die erfolgreichen Passed-Authentifizierungsprotokolle vom ACS Server.

 

 

 

Additional Information



Zur Problembehandlungführen Sieden Testbefehl aus, um zu überprüfen, ob die Authentifizierung funktioniert.

> Testauthentifizierungsauthentifizierung-Profil-Benutzernamenkennwort ACS <name></name>



Verwandte Systemprotokolle:



CLI stellt die zugehörigen Protokolle in der datei authd.log bereit. Dies kann mit angezeigt werden CLI mit : weniger mp-log authd.log.


 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClIuCAK&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language