Poniżej opis jak podłączyć Palo do AD 2012 w celu pozyskania użytkowników do Autoryzacji SSH, WEB GUI.
Kontroler domeny windows 2012r poziom AD 2012
AD01- 192.168.1.199
User- pa-admin-user
domena- safekom.pl
Konfiguracja Palo:
Device –> Server Profiles –> LDAP
Gdzie w servers podajemy namiary na kontrolery domeny, w mym przypadku jest to jeden serwer. Na chwilę obecną korzystam z LDAP bez SSL. W polu Domain wpisujemy nazwę NETBIOS domeny, w kolejnym polu wybieramy Active-Directory. W polu Base podajemy w formacie LDAP (X.500) czyli DC=safekom, dc=pl, w polu Bind DN podajemy usera który może czytać drzewo LDAP, w dokumentacji jest aby pole podawać w formacie X.500 a zastosowałem user@domena.pl, pole Bind Password – hasło do użytkownika.
to co wyżej ale z CLI:
set shared server-profile ldap AD-Safekom server ad01 address 192.168.1.199 set shared server-profile ldap AD-Safekom server ad01 port 389 set shared server-profile ldap AD-Safekom ldap-type active-directory set shared server-profile ldap AD-Safekom bind-dn pa-admin-user@safekom.pl set shared server-profile ldap AD-Safekom bind-password Password_DLA_Usera-pa-admin-user set shared server-profile ldap AD-Safekom base "dc=safekom, dc=pl" set shared server-profile ldap AD-Safekom ssl no set shared server-profile ldap AD-Safekom domain safekom
Kolejnym krokiem jest wybranie grup w AD które będą przeszukiwane. Przechodzimy do Device–>User Identification –> Group Mapping Settings, dodajemy nowy profil:
Gdzie:
Name – dowolna nazwa profilu
Server profile – wybieramy profil który utworzyliśmy dla serwera LDAP
przechodzimy do zakładki Group Include List gdzie wybieramy grupy AD które mają być przeszukiwane.
To co wyżej ale z CLI:
set group-mapping safekom group-object group set group-mapping safekom group-name name set group-mapping safekom group-member member set group-mapping safekom user-object person set group-mapping safekom user-name sAMAccountName set group-mapping safekom email mail set group-mapping safekom server-profile AD-Safekom set group-mapping safekom update-interval 60 set group-mapping safekom group-include-list "cn=domain users,cn=users,dc=safekom, dc=pl"
Tworzymy użytkownika który może zalogować się po SSH oraz WEB GUI
Pierwszym krokiem będzie utworzenie profilu Authentication Profile.
Gdzie:
Name – to dowolna nasza nazwa
w polu Allow List wybieramy grupę z AD która ma być sprawdzana autoryzację użytkownika.
Authentication – wybieramy LDAP
Server Profile – Nasz profil
Login Attribute – wpisujemy sAMAccountName (jest to nazwa pola user w AD)
To co wyżej ale z CLI:
set shared authentication-profile AD method ldap server-profile AD-Safekom set shared authentication-profile AD method ldap login-attribute sAMAccountName set shared authentication-profile AD allow-list cn=users,cn=builtin,dc=safekom,dc=pl
Przechodzimy do Administrators gdzie mapujemy użytkowania.
gdzie:
Name: użytkownik z AD
Roule: Dynamic – Superuser
To co wyżej ale z CLI:
set mgt-config users miwanczuk permissions role-based superuser yes set mgt-config users miwanczuk authentication-profile AD
Kolejnym krokiem będzie pozyskanie IP użytkowników ale to będzie w kolejnym wpisie na blogu