So konfigurieren Sie die Tacacs-Authentifizierung mit Palo Alto Networks firewall
So konfigurieren Sie die Tacacs-Authentifizierung mit Palo Alto Networks firewall
79179
Created On 09/25/18 17:42 PM - Last Modified 04/19/21 16:41 PM
Symptom
Palo Alto Networks begann, Tacacs mit der Veröffentlichung von PAN-OS 7.0 zu unterstützen. In diesem Dokument werden die Schritte zum Konfigurieren der Tacacs-Authentifizierung in Palo Alto-Netzwerken firewall mit schreibgeschützten zugriffs- und Lese-/Schreibzugriffsberechtigungen mit ACS Cisco-Server erläutert.
Environment
Palo Alto Firewall .
Jede PAN-OS .
TACACS Konfiguration.
Resolution
Erstellen Sie ein Tacacs-Serverprofil, fügen Sie Serverinformationen hinzu.Wenn ein sekundärer Backup-Tacacs-Server verfügbar ist, fügen Sie ihn auch hinzu ( GUI : Device > Server Profiles > Tacacs+)
Erstellen Sie ein Authentifizierungsprofil, und verwenden Sie das zuvor erstellte Tacacs-Serverprofil ( GUI : Device > Authentication Profile).
Standardmäßig haben wir 3 Administratorrollen ( GUI : Device > Admin Roles).
auditadmin
cryptoadmin
Securityadmin
In diesem Beispiel wird die Securityadmin-Rolle für READ_WRITE-Zugriff und die in Schritt4 erstellte schreibgeschützte Rolle für den schreibgeschützten Zugriff verwendet.
Erstellen Sie eine weitere admin-Rolle mit eingeschränktem Zugriff. In diesem Beispiel wird die schreibgeschützte Rolle mit Richtlinien,Objekten,Netzwerkenund Geräten erstellt, die deaktiviert sind. ( GUI : Gerät > Admin-Rollen)
Administratoren müssen individuell definiert werden, da derzeit nur RADIUS für die nicht-lokale admin-Authentifizierung, wie VSAs, unterstützt wird. Hinweis: Nach PAN-OS 8.0 und vorwärts müssen Sie keine Administratoren mehr lokal erstellen, sondern nur noch die Administratorrollen. ( GUI : Geräte->-Administratoren)
Erstellen Sie auf dem ACS Cisco-Server eine Liste der Benutzernamen, die lokal in den Palo Alto-Netzwerken definiert sind.
Erstellen eines Shell-Profils mit diesen Details: Attribut: Cisco-av-pair Anforderung: Obligatorischer Wert: shell:priv-lvl=15
Erstellen Sie eine Policy Autorisierung, und wenden Sie das zuvor erstellte Shellprofil an.
Hier sind die erfolgreichen Passed-Authentifizierungsprotokolle vom ACS Server.
Additional Information
Zur Problembehandlungführen Sieden Testbefehl aus, um zu überprüfen, ob die Authentifizierung funktioniert.