Comment faire pour utiliser des rôles d'administrateur prédéfinis en utilisant VSA et Cisco RADIUS ACS 4,0
Resolution
Vue d’ensemble :
Le pare-feu paloaltonetworks et panorama ont des rôles d'administration prédéfinis qui peuvent être configurés pour les attributs spécifiques aux fournisseurs RADIUS (VSA). Cet article explique comment configurer ces rôles pour Cisco ACS 4,0
Le pare-feu lui-même a les quatre rôles prédéfinis suivants, qui sont tous sensibles à la casse:
• superutilisateur — accès complet au périphérique en cours.
• superliseur (lecture seule) — accès en lecture seule au périphérique en cours.
• deviceadmin — accès complet à un appareil sélectionné. Aucun accès pour définir de nouveaux comptes ou systèmes virtuels.
• Devicereader (lecture seule) — accès en lecture seule à un périphérique sélectionné.
Les rôles de panorama sont comme suit et sont également sensibles à la casse:
• superutilisateur — accès complet au périphérique en cours.
• superliseur (lecture seule) — accès en lecture seule au périphérique en cours.
• panorama-admin — accès complet à un appareil sélectionné, à l'exception de la définition de nouveaux comptes ou de systèmes virtuels.
Étapes suivantes :
Pour permettre aux utilisateurs de Cisco ACS d'utiliser la règle prédéfinie, configurez les éléments suivants:
Dans la configuration du groupe, choisissez le groupe à configurer, puis Modifiez les paramètres.
Cliquez sur le menu déroulant et choisissez l'option RADIUS (PaloAlto).
Les attributs RADIUS (PaloAlto) doivent être affichés. Activez la case à cocher pour PaloAlto-admin-Role. Entrez le nom approprié du rôle d'administrateur prédéfini pour les utilisateurs de ce groupe.
Soumettez et redémarrez le service.
Connectez-vous au pare-feu. Une fois authentifié dans RADIUS, vérifiez que le superutilisateur ou le rôle d'administrateur prédéfini appliqué est appliqué à l'accès.
.
propriétaire: nayubi