Comment configurer l’authentification Tacacs avec Palo Alto Networks firewall

Comment configurer l’authentification Tacacs avec Palo Alto Networks firewall

79189
Created On 09/25/18 17:42 PM - Last Modified 04/19/21 16:41 PM


Symptom


Palo Alto Networks a commencé à soutenir Tacacs avec la sortie de PAN-OS 7.0. Ce document explique les étapes de configuration de l’authentification Tacacs sur Palo Alto Networks avec des privilèges d’accès en lecture et en lecture firewall uniquement à l’aide du serveur ACS Cisco.

Environment


  • Palo Alto Firewall .
  • Tout PAN-OS .
  • TACACS Configuration.

Resolution


 
  1. Créer un profil de serveur Tacacs ajouter des informations sur le serveur.Si un serveur Tacacs de sauvegarde secondaire est disponible, ajoutez-le également ( GUI : Device > Server Profiles > Tacacs+)
Profil du serveur Tacacs
 
  1. Créez un profil d’authentification et utilisez le profil du serveur Tacacs que vous avez créé précédemment GUI (: Device > Authentication Profile).
Profil d’authentification

Profil d’authentification - Onglet avancé
  1. Par défaut, nous avons 3 rôles admin ( GUI : Device > Admin Roles).
  • auditadmin
  • cryptoadmin
  • securityadmin
Dans cet exemple, le rôle securityadmin est utilisé pour l’accès READ_WRITE et le rôle de lecture uniquement créé à l’étape4 est utilisé uniquement pour lire l’accès.
Rôles d’administrateur
 
  1. Créer un autre rôle admin avec un accès limité. Dans cet exemple, le rôle lecture uniquement est créé avec des stratégies, des objets, des réseauxet des périphériques désactivés. ( GUI : Périphérique > rôles admin)
Lire uniquement le profil
  1. Les administrateurs doivent être définis individuellement, car actuellement seul RADIUS est pris en charge pour l'authentification d'administrateur non local, telle que Vsa. Remarque : Après PAN-OS 8.0 et pour aller de l’avant, vous n’avez plus besoin de créer des administrateurs localement, juste les rôles d’administrateur. ( GUI : Périphérique > administrateurs)
    Administrateurs d’appareils
     
  2. Sur le serveur Cisco ACS créer une liste de noms d’utilisateur qui sont définis sur les réseaux De Palo Alto localement.

  3. Créer un profil shell avec ces détails:
    Attribut: Cisco-av-paire
    Exigence: Valeur
    obligatoire: shell:priv-lvl=15

  4. Créez une autorisation et Policy appliquez le profil shell créé précédemment.

  5. Voici les journaux d’authentification Passed réussis à partir ACS du serveur.

 

 

 

Additional Information



Pour dépanner, use la commande de test pour vérifier si l’authentification fonctionne.

>'authentification de test-profil ACS <name></name> d’authentification mot



de passe du système connexes:



CLI fournit les journaux connexes dans le fichier authd.log. Cela peut être affiché en utilisant CLI : moins mp-log authd.log.


 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClIuCAK&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language