从 PAN-OS CLI 管理 PaloAlto 防火墙用户
本教程介绍如何从 CLI 管理 PaloAlto 用户。
您将了解与用户和角色相关的功能,包括如何创建新用户、为用户分配角色、将普通用户设为管理员用户、列出所有现有用户、删除用户等,
1. 进入 PaloAlto CLI 配置模式
首先,使用 ssh 从 CLI 登录到 PaloAlto,如下所示。
$ ssh admin@192.168.101.200
admin@PA-FW>
To manage users, go to configure mode as shown below.
admin@PA-VM> configure
Entering configuration mode
[edit]
admin@PA-VM# 注意:进入配置模式后,提示符会从 > 变为 #,如上图所示。
2.创建新用户
下面将创建一个名为“ramesh”的新用户。系统将提示您输入此新用户的密码。
# set mgt-config users ramesh password
Enter password :
Confirm password :如果您希望此用户成为管理员,请确保按照以下示例中的说明分配适当的角色。
此外,只有在将用户分配给角色后,您才会在 UI 的用户列表中看到它
在相关说明中,如果您运行的是旧版本的防火墙,请按照以下说明进行升级:从 CLI 或控制台升级 PaloAlto PAN-OS 防火墙软件的 5 个步骤
3. 使用密码哈希创建新用户
如果您正在自动化用户创建过程,您可能不想以交互方式输入密码。
在这种情况下,使用 phash(密码哈希)选项在命令行中将密码指定为哈希,如下所示:
set mgt-config users john phash $$12345$da$78jdufadkjJBOMdkais89Bo4. 编辑现有用户以分配只读角色
创建用户后,分配一个角色,如下所示。
在此示例中,我们将 ramesh 分配给 superreader 角色,该角色将对所有内容具有只读访问权限。
set mgt-config users ramesh permissions role-based superreader yes注意:如果用户已经被分配了另一个角色,上面的命令将覆盖之前的角色分配,并将新的角色分配给用户。
5. 编辑现有用户 - 添加公钥
您还可以使用 public-key 选项从 CLI 为用户分配公钥,如下所示。
为简单起见,下面仅显示部分公钥。
set mgt-config users john public-key jMkVBQUFBREFRQUJBQ.....QtMQ==6. 为用户分配管理员角色(超级用户)
以下命令将使用户成为管理员。为此,将超级用户角色分配给现有用户,如下所示。
set mgt-config users ramesh permissions role-based superuser yes7. 将用户分配给密码配置文件
如果您已经有密码配置文件,则可以使用密码配置文件选项将其分配给用户,如下所示。
set mgt-config users ramesh password-profile 8.查看现有用户
使用以下 mgt-config users 命令查看所有现有用户。
# show mgt-config users
users {
admin {
phash $$$12345abcdefghilkWhjuyjjdkj/;
permissions {
role-based {
superuser yes;
}
}
public-key jRMESABCEPRAM.....QaCD==;
}
ramesh {
phash $$$4a1234556mbcdefjJBOMdkais89Bo;
permissions {
role-based {
superuser yes;
}
}
}
}9.删除现有用户
要删除现有用户,请使用以下命令。以下将删除用户 ramesh。
delete mgt-config users ramesh10. 从角色中删除用户
如果您不想删除用户,但想从角色中删除用户,请使用以下命令并且不要传递任何角色名称。
set mgt-config users ramesh permissions role-based从现有用户、PaloAlto 管理控制台、浏览器中删除角色后,您将不会在用户列表中看到该用户。
但从 CLI 中,show mgt-config users 仍将显示该用户,该用户没有角色,因为该用户未被删除。
- 点赞
- 收藏
- 关注作者
评论(0)