Cómo configurar la autenticación Tacacs con Palo Alto Networks firewall
Cómo configurar la autenticación Tacacs con Palo Alto Networks firewall
79193
Created On 09/25/18 17:42 PM - Last Modified 04/19/21 16:41 PM
Symptom
Palo Alto Networks comenzó a apoyar a Tacacs con el lanzamiento de PAN-OS 7.0. Este documento explica los pasos para configurar la autenticación tacacs en las redes de Palo Alto firewall con los privilegios de acceso de lectura-solamente y de lectura-escritura usando el servidor de ACS Cisco.
Environment
Palo Alto Firewall .
Cualquier PAN-OS archivo .
TACACS Configuración.
Resolution
Cree un perfil de servidor Tacacs agregue la información del servidor.Si un servidor Tacacs de copia de seguridad secundario está disponible, agréguelo también ( GUI : Perfiles de dispositivo > servidor > Tacacs+)
Cree un perfil de autenticación y utilice el perfil del servidor tacacs que usted creó antes ( GUI : perfil de autenticación > del dispositivo).
De forma predeterminada, tenemos 3 roles de administrador ( GUI : Device > Admin Roles).
auditadmin
cryptoadmin
securityadmin
En este ejemplo, el rol securityadmin se utiliza para el acceso READ_WRITE y el rol de solo lectura creado en step4 se utiliza para el acceso de solo lectura.
Cree otro rol de administrador con acceso limitado. En este ejemplo, el rol de solo lectura se crea con directivas,objetos,redesy dispositivos deshabilitados. ( GUI : Funciones de administrador de > dispositivo)
Los administradores deben definirse individualmente porque en la actualidad sólo se admite RADIUS para la autenticación de administración no local, como VSAs. Nota: Después de PAN-OS la 8.0 y seguir adelante, ya no es necesario crear administradores localmente, solo los roles de administrador. ( GUI : Administradores de > de dispositivos)
En el servidor de Cisco ACS cree una lista de nombres de usuario que se definen en las redes de Palo Alto localmente.
Cree un perfil del shell con estos detalles: Atributo: Requisito Cisco-av-pair: Valor obligatorio: shell:priv-lvl=15
Cree una autorización Policy y aplique el perfil de shell creado anteriormente.
Aquí están los registros de autenticación pasados correctos del ACS servidor.
Additional Information
Para resolver problemas, activeel comando test para comprobar si la autenticación está funcionando.
> probar los registros del sistema relacionados con el nombre de usuario del perfil de autenticación de ACS <name></name> autenticación:
proporciona los registros relacionados en el archivo .log autenticación.
CLI Esto se puede mostrar CLI usando: menos mp-log authd.log.