Comment configurer l’authentification Tacacs avec Palo Alto Networks firewall
Comment configurer l’authentification Tacacs avec Palo Alto Networks firewall
79189
Created On 09/25/18 17:42 PM - Last Modified 04/19/21 16:41 PM
Symptom
Palo Alto Networks a commencé à soutenir Tacacs avec la sortie de PAN-OS 7.0. Ce document explique les étapes de configuration de l’authentification Tacacs sur Palo Alto Networks avec des privilèges d’accès en lecture et en lecture firewall uniquement à l’aide du serveur ACS Cisco.
Environment
Palo Alto Firewall .
Tout PAN-OS .
TACACS Configuration.
Resolution
Créer un profil de serveur Tacacs ajouter des informations sur le serveur.Si un serveur Tacacs de sauvegarde secondaire est disponible, ajoutez-le également ( GUI : Device > Server Profiles > Tacacs+)
Créez un profil d’authentification et utilisez le profil du serveur Tacacs que vous avez créé précédemment GUI (: Device > Authentication Profile).
Par défaut, nous avons 3 rôles admin ( GUI : Device > Admin Roles).
auditadmin
cryptoadmin
securityadmin
Dans cet exemple, le rôle securityadmin est utilisé pour l’accès READ_WRITE et le rôle de lecture uniquement créé à l’étape4 est utilisé uniquement pour lire l’accès.
Créer un autre rôle admin avec un accès limité. Dans cet exemple, le rôle lecture uniquement est créé avec des stratégies,des objets,des réseauxet des périphériques désactivés. ( GUI : Périphérique > rôles admin)
Les administrateurs doivent être définis individuellement, car actuellement seul RADIUS est pris en charge pour l'authentification d'administrateur non local, telle que Vsa. Remarque : Après PAN-OS 8.0 et pour aller de l’avant, vous n’avez plus besoin de créer des administrateurs localement, juste les rôles d’administrateur. ( GUI : Périphérique > administrateurs)
Sur le serveur Cisco ACS créer une liste de noms d’utilisateur qui sont définis sur les réseaux De Palo Alto localement.
Créer un profil shell avec ces détails: Attribut: Cisco-av-paire Exigence: Valeur obligatoire: shell:priv-lvl=15
Créez une autorisation et Policy appliquez le profil shell créé précédemment.
Voici les journaux d’authentification Passed réussis à partir ACS du serveur.
Additional Information
Pour dépanner, use la commande de test pour vérifier si l’authentification fonctionne.
>'authentification de test-profil ACS <name></name> d’authentification mot
de passe du système connexes:
CLI fournit les journaux connexes dans le fichier authd.log. Cela peut être affiché en utilisant CLI : moins mp-log authd.log.