Wie man vordefinierte admin-Rollen mit VSA und Cisco RADIUS ACS 4,0 verwendet
Resolution
Übersicht:
Die paloaltonetworks Firewall und Panorama haben vordefinierte administrative Rollen, die für RADIUS Vendor spezifische Attribute (VSA) konfiguriert werden können. Dieser Artikel erklärt, wie diese Rollen für Cisco ACS 4,0 konfiguriert werden.
Die Firewall selbst hat die folgenden vier vordefinierten Rollen, die allesamt Fall sensibel sind:
• Superuser — vollen Zugriff auf das aktuelle Gerät.
• Superreader (nur lesen) — nur lesbaren Zugriff auf das aktuelle Gerät.
• Deviceadmin — vollen Zugriff auf ein ausgewähltes Gerät. Kein Zugriff auf die Definition neuer Accounts oder virtueller Systeme.
• Devicereader (nur lesen) — nur lesbaren Zugriff auf ein ausgewähltes Gerät.
Die Panorama Rollen sind wie folgt und sind auch Fall sensibel:
• Superuser — vollen Zugriff auf das aktuelle Gerät.
• Superreader (nur lesen) — nur lesbaren Zugriff auf das aktuelle Gerät.
• Panorama-admin — vollen Zugriff auf ein ausgewähltes Gerät, mit Ausnahme der Definition neuer Accounts oder virtueller Systeme.
Schritte:
Um Cisco ACS-Benutzern die Möglichkeit zu geben, die vorgegebene Regel zu verwenden, konfigurieren Sie Folgendes:
Wählen Sie aus dem Gruppen Aufbau die Gruppe, um Einstellungen zu konfigurieren und dann zu Bearbeiten.
Klicken Sie auf das Drop-Down-Menü und wählen Sie den options RADIUS (paloalto).
Die Attribute RADIUS (paloalto) sollten angezeigt werden. Klicken Sie auf das Kästchen für paloalto-admin-Rolle. Geben Sie den entsprechenden Namen der vordefinierten admin-Rolle für die Benutzer in dieser Gruppe ein.
Den Service einreichen und neu starten .
Melden Sie sich in der Firewall an. Einmal authentifiziert, um RADIUS zu überprüfen, dass die Superuser oder vordefinierte admin-Rolle angewendet wird, wird auf den Zugriff angewendet.
.
Besitzer: nayubi