パロアルトネットワークスでTacacs認証を設定する方法 firewall

パロアルトネットワークスでTacacs認証を設定する方法 firewall

79191
Created On 09/25/18 17:42 PM - Last Modified 04/19/21 16:41 PM


Symptom


パロアルトネットワークスは、7.0のリリースでTacacsをサポートし始 PAN-OS めました。 このドキュメントでは firewall 、Cisco サーバを使用して読み取り専用および読み書きアクセス権を使用して、パロアルトネットワークで Tacacs 認証を設定する手順について説明 ACS します。

Environment


  • パロ アルト Firewall .
  • 任意 PAN-OS の .
  • TACACS 構成。

Resolution


 
  1. Tacacs サーバ プロファイルを作成して、サーバ情報を追加します。セカンダリ バックアップの Tacacs サーバが使用可能な場合は、サーバを追加します ( GUI : デバイス > サーバ プロファイル > Tacacs+)
Tacacs サーバ プロファイル
 
  1. 認証プロファイルを作成し、先ほど作成した Tacacs サーバ プロファイルを使用します( GUI : デバイス >認証プロファイル)。
認証プロファイル

認証プロファイル - [詳細設定] タブ
  1. デフォルトでは、3 つの管理者ロール ( GUI : デバイス>管理者ロール) があります。
  • auditadmin
  • cryptoadmin
  • securityadmin
この例では 、securityadmin ロールがREAD_WRITEアクセスに使用され、step4 で作成された読み取り専用ロールが読み取り専用アクセスに使用されます。
管理者ロール
 
  1. アクセス制限のある別の管理者ロールを作成します。 この例では、 ポリシーオブジェクトネットワーク、および デバイス を持つ読み取り専用ロールが作成されます。 ( GUI : デバイス > 管理者ロール)
読み取り専用プロファイル
  1. 現在、VSAs などの非ローカル管理者認証では Radius のみがサポートされているため、管理者は個別に定義する必要があります。 注: PAN-OS 8.0 以降、管理者ロールのみをローカルに作成する必要はありません。 ( GUI :デバイス >管理者)
    デバイス管理者
     
  2. Cisco ACS サーバで、パロアルトネットワークでローカルに定義されたユーザ名のリストを作成します。

  3. 次の詳細を含むシェル プロファイルを作成します:
    属性: Cisco-av ペア
    要件: 必須
    値: シェル:priv-lvl=15

  4. 権限を作成 Policy し、先ほど作成したシェルプロファイルを適用します。

  5. サーバーから成功した認証ログを次に ACS 示します。

 

 

 

Additional Information



トラブルシューティングを行うには、認証が機能しているかどうかを確認するために、testコマンドを使用します。

認証プロファイル ACS のユーザ名<name>のパスワード</name>をテスト>



関連システムログ:



CLI authd.logファイルに関連するログを提供します。 この値は、 CLI mp-log 認証.log を使用


して表示できます。 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClIuCAK&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language