如何配置塔卡茨认证与帕洛阿尔托网络 firewall
79175
Created On 09/25/18 17:42 PM - Last Modified 04/19/21 16:41 PM
Symptom
帕洛阿尔托网络开始支持塔卡茨与 PAN-OS 7.0的版本。 本文档解释了 firewall 使用思科服务器使用仅读和读写访问权限在 Palo Alto 网络上配置 Tacacs 身份验证的步骤 ACS 。
Environment
- 帕洛阿尔托 Firewall .
- 任何 PAN-OS 。
- TACACS 配置。
Resolution
- 创建一个 Tacacs 服务器配置文件添加服务器信息。如果有辅助备份 Tacacs 服务器,请添加它 GUI (:设备>服务器配置文件>塔卡茨]
- 创建身份验证配置文件并使用您之前创建的 Tacacs 服务器配置文件 GUI (: 设备>身份验证配置文件)。
- 默认情况下,我们有 3 个管理员角色 GUI (: 设备>管理员角色)。
- auditadmin
- cryptoadmin
- securityadmin
在此示例中, 安全管理员角色用于READ_WRITE访问,步骤 4 中创建的仅读取角色仅用于读取访问。
- 创建另一个具有有限访问权限的管理角色。 在此示例中,仅读取角色由 策略、 对象、 网络和 设备 禁用创建。 GUI( :设备>管理角色)
- 必须单独定义管理员, 因为当前只支持非本地管理员身份验证 (如 VSAs) 的 Radius。 注意 PAN-OS :8.0之后,您不再需要在本地创建管理员,只需创建管理员角色。 GUI( 设备>管理员)
- 在思科 ACS 服务器上创建本地在 Palo Alto 网络上定义的用户名列表。
- 创建具有以下详细信息的外壳配置文件:
属性:思科av对
要求:强制性
值:外壳:priv-lvl=15
- 创建授权 Policy 并应用之前创建的外壳配置文件。
- 以下是服务器成功通过的身份验证日志 ACS 。
Additional Information
要排除故障,请按 测试 命令检查身份验证是否有效。
>测试身份验证配置文件 ACS 用户名 <name> 密码</name>
相关系统日志:
CLI 在验证文件中提供相关日志.log文件。 这可以显示使用 CLI :更少的 mp 日志验证.log。