パロアルトネットワークスでTacacs認証を設定する方法 firewall
79191
Created On 09/25/18 17:42 PM - Last Modified 04/19/21 16:41 PM
Symptom
パロアルトネットワークスは、7.0のリリースでTacacsをサポートし始 PAN-OS めました。 このドキュメントでは firewall 、Cisco サーバを使用して読み取り専用および読み書きアクセス権を使用して、パロアルトネットワークで Tacacs 認証を設定する手順について説明 ACS します。
Environment
- パロ アルト Firewall .
- 任意 PAN-OS の .
- TACACS 構成。
Resolution
- Tacacs サーバ プロファイルを作成して、サーバ情報を追加します。セカンダリ バックアップの Tacacs サーバが使用可能な場合は、サーバを追加します ( GUI : デバイス > サーバ プロファイル > Tacacs+)
- 認証プロファイルを作成し、先ほど作成した Tacacs サーバ プロファイルを使用します( GUI : デバイス >認証プロファイル)。
- デフォルトでは、3 つの管理者ロール ( GUI : デバイス>管理者ロール) があります。
- auditadmin
- cryptoadmin
- securityadmin
この例では 、securityadmin ロールがREAD_WRITEアクセスに使用され、step4 で作成された読み取り専用ロールが読み取り専用アクセスに使用されます。
- アクセス制限のある別の管理者ロールを作成します。 この例では、 ポリシー、 オブジェクト、 ネットワーク、および デバイス を持つ読み取り専用ロールが作成されます。 ( GUI : デバイス > 管理者ロール)
- 現在、VSAs などの非ローカル管理者認証では Radius のみがサポートされているため、管理者は個別に定義する必要があります。 注: PAN-OS 8.0 以降、管理者ロールのみをローカルに作成する必要はありません。 ( GUI :デバイス >管理者)
- Cisco ACS サーバで、パロアルトネットワークでローカルに定義されたユーザ名のリストを作成します。
- 次の詳細を含むシェル プロファイルを作成します:
属性: Cisco-av ペア
要件: 必須
値: シェル:priv-lvl=15
- 権限を作成 Policy し、先ほど作成したシェルプロファイルを適用します。
- サーバーから成功した認証ログを次に ACS 示します。
Additional Information
トラブルシューティングを行うには、認証が機能しているかどうかを確認するために、testコマンドを使用します。
認証プロファイル ACS のユーザ名<name>のパスワード</name>をテスト>
関連システムログ:
CLI authd.logファイルに関連するログを提供します。 この値は、 CLI mp-log 認証.log を使用
して表示できます。