Palo – AD 2012 user maping

Poniżej opis jak podłączyć Palo do AD 2012 w celu pozyskania użytkowników do Autoryzacji SSH, WEB GUI.

Kontroler domeny windows 2012r poziom AD 2012

AD01- 192.168.1.199

User- pa-admin-user

domena- safekom.pl

Konfiguracja Palo:

Device –> Server Profiles –> LDAP

ldap01

Gdzie w servers podajemy namiary na kontrolery domeny, w mym przypadku jest to jeden serwer. Na chwilę obecną korzystam z LDAP bez SSL. W polu Domain wpisujemy nazwę NETBIOS  domeny, w kolejnym polu wybieramy Active-Directory. W polu Base podajemy w formacie LDAP (X.500) czyli DC=safekom, dc=pl, w polu Bind DN podajemy usera który może czytać drzewo LDAP, w dokumentacji jest aby pole podawać w formacie X.500 a zastosowałem user@domena.pl, pole Bind Password – hasło do użytkownika.

to co wyżej ale z CLI:

set shared server-profile ldap AD-Safekom server ad01 address 192.168.1.199
set shared server-profile ldap AD-Safekom server ad01 port 389
set shared server-profile ldap AD-Safekom ldap-type active-directory
set shared server-profile ldap AD-Safekom bind-dn pa-admin-user@safekom.pl
set shared server-profile ldap AD-Safekom bind-password Password_DLA_Usera-pa-admin-user
set shared server-profile ldap AD-Safekom base "dc=safekom, dc=pl"
set shared server-profile ldap AD-Safekom ssl no
set shared server-profile ldap AD-Safekom domain safekom

 

Kolejnym krokiem jest wybranie grup w AD które będą przeszukiwane. Przechodzimy do Device–>User Identification –> Group Mapping Settings, dodajemy nowy profil:

ldap02

Gdzie:

Name – dowolna nazwa profilu

Server profile – wybieramy profil który utworzyliśmy dla serwera LDAP

przechodzimy do zakładki Group Include List gdzie wybieramy grupy AD które mają być przeszukiwane.

ldap03

To co wyżej ale z CLI:

set group-mapping safekom group-object group
set group-mapping safekom group-name name
set group-mapping safekom group-member member
set group-mapping safekom user-object person
set group-mapping safekom user-name sAMAccountName
set group-mapping safekom email mail
set group-mapping safekom server-profile AD-Safekom
set group-mapping safekom update-interval 60
set group-mapping safekom group-include-list "cn=domain users,cn=users,dc=safekom, dc=pl"

Tworzymy użytkownika który może zalogować się po SSH oraz WEB GUI

Pierwszym krokiem będzie utworzenie profilu Authentication Profile.

ldap04

Gdzie:

Name – to dowolna nasza nazwa

w polu Allow List wybieramy grupę z AD która ma być sprawdzana autoryzację użytkownika.

Authentication – wybieramy LDAP

Server Profile – Nasz profil

Login Attribute – wpisujemy sAMAccountName (jest to nazwa pola user w AD)

To co wyżej ale z CLI:

set shared authentication-profile AD method ldap server-profile AD-Safekom
set shared authentication-profile AD method ldap login-attribute sAMAccountName
set shared authentication-profile AD allow-list cn=users,cn=builtin,dc=safekom,dc=pl

Przechodzimy do Administrators gdzie mapujemy użytkowania.

ldap05

gdzie:

Name: użytkownik z AD

Roule: Dynamic – Superuser

To co wyżej ale z CLI:

set mgt-config users miwanczuk permissions role-based superuser yes
set mgt-config users miwanczuk authentication-profile AD

 

Kolejnym krokiem będzie pozyskanie IP użytkowników ale to będzie w kolejnym wpisie na blogu

Pasjonat komputerowy od zawsze oraz maniak w zakresie sieci, wirtualizacji oraz bezpieczeństwa IT. Kompetentny inżynier z dużym doświadczeniem w realizacji projektów informatycznych i telekomunikacyjnych. Wieloletni administrator IT, który utrzymuje systemy informatyczne dostosowując je do wymogów biznesowych z zapewnieniem dostępności 24/7/365.
Posts created 126

Related Posts

Begin typing your search term above and press enter to search. Press ESC to cancel.

Back To Top