Системным администраторам и сетевым инженерам при одновременной работе с межсетевыми экранами Palo Alto очень важно контролировать все применяемые изменения в настройках фаервола. Зачастую, допускается большая ошибка, и специалисты совершают авторизацию по единой локальной учетной записи вида admin/root. Это может привести к ошибочному применению определенных параметров шлюза, вносимых другими специалистами.
Для решения данной проблемы и внедрения дополнительного контроля за вносимыми изменениями в настройки сетевого экрана необходимо организовать авторизацию для специалистов по доменным учетным записями.
Для доступа к управлению NGFW Palo Alto с авторизацией через AD требуется произвести следующие настройки.
1. Создать профиль LDAP [Device – Server Profiles – LDAP – Add]
Profile Name – удобное имя профиля (например, имя домена)
Server List – список контроллеров домена (порт по-умолчанию 389)
Type – active-directory
Bind DN – учетная запись для чтения каталога LDAP
Password – пароль учетной записи
Дополнительно:
Bing Timeout / Search Timeout – 30 секунд
Retry Timeout – 60 секунд
Безопасность SSL/TLS

2. Создать Authentication Profile [Device – Authentication Profile – Add]
Type – LDAP
Server Profile – созданный LDAP Server Profile
Login Attribute – sAMAccountName

Во вкладке Advanced можно дополнительно указать группу AD с учетными записями администраторов и параметры автоматической блокировки учетных записей при вводе некорректных данных.

3. Создать новую учетную запись администратора для каждой учетной записи AD [Device – Administrators – Add]
Name – должно совпадать с именем пользователя в Active Directory (SameAccountName)
Authentication Profile – созданный профиль
При необходимости выставить иные параметры и уровень прав

После применения вышеописанных параметров можно заходить на Web-интерфейс сетевого экрана или подключаться к CLI по SSH с использованием доменной учетной записи.
Теперь во время применения настроек сетевого экрана будут отображаться параметры, внесенные каждым специалистом отдельно.