Доменная авторизация для FireWall Palo Alto

Системным администраторам и сетевым инженерам при одновременной работе с межсетевыми экранами Palo Alto очень важно контролировать все применяемые изменения в настройках фаервола. Зачастую, допускается большая ошибка, и специалисты совершают авторизацию по единой локальной учетной записи вида admin/root. Это может привести к ошибочному применению определенных параметров шлюза, вносимых другими специалистами.

Для решения данной проблемы и внедрения дополнительного контроля за вносимыми изменениями в настройки сетевого экрана необходимо организовать авторизацию для специалистов по доменным учетным записями.

Для доступа к управлению NGFW Palo Alto с авторизацией через AD требуется произвести следующие настройки.

1. Создать профиль LDAP [Device – Server Profiles – LDAP – Add]
Profile Name – удобное имя профиля (например, имя домена)
Server List – список контроллеров домена (порт по-умолчанию 389)
Type – active-directory
Bind DN – учетная запись для чтения каталога LDAP
Password – пароль учетной записи
Дополнительно:
Bing Timeout / Search Timeout – 30 секунд
Retry Timeout – 60 секунд
Безопасность SSL/TLS

palo alto active directory authorization

2. Создать Authentication Profile [Device – Authentication Profile – Add]
Type – LDAP
Server Profile – созданный LDAP Server Profile
Login Attribute – sAMAccountName

 

palo alto domain authorization

Во вкладке Advanced можно дополнительно указать группу AD с учетными записями администраторов и параметры автоматической блокировки учетных записей при вводе некорректных данных.

3. Создать новую учетную запись администратора для каждой учетной записи AD [Device – Administrators – Add]
Name – должно совпадать с именем пользователя в Active Directory (SameAccountName)
Authentication Profile – созданный профиль
При необходимости выставить иные параметры и уровень прав

palo alto domain authorization

После применения вышеописанных параметров можно заходить на Web-интерфейс сетевого экрана или подключаться к CLI по SSH с использованием доменной учетной записи.

Теперь во время применения настроек сетевого экрана будут отображаться параметры, внесенные каждым специалистом отдельно.

Популярные товары Palo Alto

Опубликовано в рубрике Palo Alto