Аутентификация через LDAP позволяет Вам использовать корпоративные учетные записи для подключения через Global Protect или для административного доступа на фаервол.
Для интеграции фаервола с LDAP, смотрите по ссылке.
В данной статье мы рассмотрим сценарий для административного доступа.
Важно: Фаерволы Palo Alto Networks проверяют пользователя на аутентификацию, а далее на авторизацию. В шагах снизу более детально описаны каждая из ступеней.
Шаг 1. Создайте профиль аутентификации, используя LDAP сервер.
В данном шаге мы настраиваем Аутентификацию, то-есть кем мы являемся.
Вкладка Device (или вкладка Panorama, если используется Panorama) > щелкните Authentication Profile (Add (Добавить).
Аутентификация будет осуществляться по протоколу LDAP, выберите профиль сервера, созданный на предыдущем шаге, и убедитесь, что атрибут входа - "sAMAccountName". Он чувствителен к регистру.
В этом примере список разрешений включает всех пользователей. При желании список можно ограничить.
Шаг 2. Создайте администратора используя LDAP Authentication Profile.
Данная настройка отвечает за авторизацию, то-есть какие у нас привилегии.
(Обязательный шаг) Для каждого пользователя нужно настроить отдельного администратора и имя пользователя на фаерволе должно совпадать с именем корпоративной учетной записи. В случае, когда учетные записи не совпали, фаервол не авторизует Вас. Фаервол проверяет локальное и корпоративное имя пользователя на совпадения для предоставления прав. В ином случае, вы не сможете залогиниться.
Теперь мы можем назначить наш только что созданный профиль аутентификации для предоставления административного доступа к графическому интерфейсу Palo Alto и CLI.
Создайте учетную запись администратора на устройстве Palo Alto Networks.
Вкладка Device (или вкладка Panorama, если используется Panorama) > Administrators > нажмите Add (Добавить).
В раскрывающемся списке Профиль аутентификации выберите профиль аутентификации LDAP, созданный в предыдущем шаге.
Убедитесь, что имя администратора совпадает с именем пользователя на сервере LDAP.
Comments
0 comments
Please sign in to leave a comment.