本教程介紹了如何從CLI管理PaloAlto用戶。您將學習到與用戶和角色相關的功能,包括如何創建一個新用戶、為用戶分配角色、將普通用戶變成管理員用戶、列出所有現有用戶、刪除用戶等。
1.進入PaloAlto CLI配置模式
首先,如下所示使用ssh從CLI登錄PaloAlto。
$ ssh admin@192.168.101.200
admin@PA-FW>
To manage users, go to configure mode as shown below.
admin@PA-VM> configure
Entering configuration mode
[edit]
admin@PA-VM#
注意:進入配置模式后,提示將由>變為#,如上所示。
2.創建新用戶
下面將創建一個名為“ ramesh”的新用戶。系統將提示您輸入該新用戶的密碼。
# set mgt-config users ramesh password
Enter password :
Confirm password :
如果您希望該用戶成為管理員,請確保按照以下示例中的說明分配適當的角色。
另外,只有在將用戶分配給角色之后,您才會在用戶界面的用戶列表中看到它
如果您正在運行較舊版本的防火牆,請從CLI或控制台升級PaloAlto PAN-OS防火牆軟件。
3.使用密碼哈希創建新用戶
如果要自動執行用戶創建過程,則可能不想以交互方式輸入密碼。
在這種情況下,請在命令行中使用phash(密碼哈希)選項將密碼指定為哈希,如下所示:
set mgt-config users john phash $$12345$da$78jdufadkjJBOMdkais89Bo
4.編輯現有用戶以分配只讀角色
創建用戶后,分配一個角色,如下所示。
在此示例中,我們將ramesh分配給超級讀者角色,該角色將對所有內容具有只讀訪問權限。
set mgt-config users ramesh permissions role-based superreader yes
注意:如果已將用戶分配給另一個角色,則上述命令將覆蓋以前的角色分配,並將新角色分配給該用戶。
5.編輯現有用戶–添加公鑰
您還可以使用CLI(如下所示)從CLI為用戶分配公鑰。
為了簡單起見,下面僅顯示部分公鑰。
set mgt-config users john public-key jMkVBQUFBREFRQUJBQ.....QtMQ==
6.為用戶分配管理員角色(SuperUser)
以下命令將使用戶成為管理員。為此,將超級用戶角色分配給現有用戶,如下所示。
set mgt-config users ramesh permissions role-based superuser yes
7.為用戶分配密碼配置文件
如果您已經有密碼配置文件,則可以使用password-profile選項將其分配給用戶,如下所示。
set mgt-config users ramesh password-profile TheGeekStuffProfile
8.查看現有用戶
使用以下mgt-config users命令查看所有現有用戶。
# show mgt-config users
users {
admin {
phash $$$12345abcdefghilkWhjuyjjdkj/;
permissions {
role-based {
superuser yes;
}
}
public-key jRMESABCEPRAM.....QaCD==;
}
ramesh {
phash $$$4a1234556mbcdefjJBOMdkais89Bo;
permissions {
role-based {
superuser yes;
}
}
}
}
9.刪除現有用戶
要刪除現有用戶,請使用以下命令。以下內容將刪除用戶權限。
delete mgt-config users ramesh
10.從角色中刪除用戶
如果您不想刪除用戶,但是想從角色中刪除該用戶,請使用以下命令,並且不要傳遞任何角色名稱。
set mgt-config users ramesh permissions role-based
從現有用戶,從PaloAlto管理控制台,從瀏覽器中刪除角色后,您將不會在用戶列表中看到該用戶。
但是從CLI來看,show mgt-config用戶仍將向該用戶顯示沒有角色的用戶,因為該用戶不會被刪除。A5互聯https://www.a5idc.net/