Cómo configurar la autenticación Tacacs con Palo Alto Networks firewall

Cómo configurar la autenticación Tacacs con Palo Alto Networks firewall

79193
Created On 09/25/18 17:42 PM - Last Modified 04/19/21 16:41 PM


Symptom


Palo Alto Networks comenzó a apoyar a Tacacs con el lanzamiento de PAN-OS 7.0. Este documento explica los pasos para configurar la autenticación tacacs en las redes de Palo Alto firewall con los privilegios de acceso de lectura-solamente y de lectura-escritura usando el servidor de ACS Cisco.

Environment


  • Palo Alto Firewall .
  • Cualquier PAN-OS archivo .
  • TACACS Configuración.

Resolution


 
  1. Cree un perfil de servidor Tacacs agregue la información del servidor.Si un servidor Tacacs de copia de seguridad secundario está disponible, agréguelo también ( GUI : Perfiles de dispositivo > servidor > Tacacs+)
Perfil del servidor Tacacs
 
  1. Cree un perfil de autenticación y utilice el perfil del servidor tacacs que usted creó antes ( GUI : perfil de autenticación > del dispositivo).
Perfil de autenticación

Perfil de autenticación - Ficha Avanzada
  1. De forma predeterminada, tenemos 3 roles de administrador ( GUI : Device > Admin Roles).
  • auditadmin
  • cryptoadmin
  • securityadmin
En este ejemplo, el rol securityadmin se utiliza para el acceso READ_WRITE y el rol de solo lectura creado en step4 se utiliza para el acceso de solo lectura.
Roles de administrador
 
  1. Cree otro rol de administrador con acceso limitado. En este ejemplo, el rol de solo lectura se crea con directivas, objetos, redesy dispositivos deshabilitados. ( GUI : Funciones de administrador de > dispositivo)
Perfil de solo lectura
  1. Los administradores deben definirse individualmente porque en la actualidad sólo se admite RADIUS para la autenticación de administración no local, como VSAs. Nota: Después de PAN-OS la 8.0 y seguir adelante, ya no es necesario crear administradores localmente, solo los roles de administrador. ( GUI : Administradores de > de dispositivos)
    Administradores de dispositivos
     
  2. En el servidor de Cisco ACS cree una lista de nombres de usuario que se definen en las redes de Palo Alto localmente.

  3. Cree un perfil del shell con estos detalles:
    Atributo: Requisito Cisco-av-pair:
    Valor
    obligatorio: shell:priv-lvl=15

  4. Cree una autorización Policy y aplique el perfil de shell creado anteriormente.

  5. Aquí están los registros de autenticación pasados correctos del ACS servidor.

 

 

 

Additional Information



Para resolver problemas, activeel comando test para comprobar si la autenticación está funcionando.

> probar los registros del sistema relacionados con el nombre de usuario del perfil de autenticación de ACS <name></name> autenticación:



proporciona los registros relacionados en el archivo .log autenticación.



CLI Esto se puede mostrar CLI usando: menos mp-log authd.log.


 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClIuCAK&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language