本教程介绍了如何从CLI管理PaloAlto用户。您将学习到与用户和角色相关的功能,包括如何创建一个新用户、为用户分配角色、将普通用户变成管理员用户、列出所有现有用户、删除用户等。
1.进入PaloAlto CLI配置模式
首先,如下所示使用ssh从CLI登录PaloAlto。
$ ssh admin@192.168.101.200
admin@PA-FW>
To manage users, go to configure mode as shown below.
admin@PA-VM> configure
Entering configuration mode
[edit]
admin@PA-VM#
注意:进入配置模式后,提示将由>变为#,如上所示。
2.创建新用户
下面将创建一个名为“ ramesh”的新用户。系统将提示您输入该新用户的密码。
# set mgt-config users ramesh password
Enter password :
Confirm password :
如果您希望该用户成为管理员,请确保按照以下示例中的说明分配适当的角色。
另外,只有在将用户分配给角色之后,您才会在用户界面的用户列表中看到它
如果您正在运行较旧版本的防火墙,请从CLI或控制台升级PaloAlto PAN-OS防火墙软件。
3.使用密码哈希创建新用户
如果要自动执行用户创建过程,则可能不想以交互方式输入密码。
在这种情况下,请在命令行中使用phash(密码哈希)选项将密码指定为哈希,如下所示:
set mgt-config users john phash $$12345$da$78jdufadkjJBOMdkais89Bo
4.编辑现有用户以分配只读角色
创建用户后,分配一个角色,如下所示。
在此示例中,我们将ramesh分配给超级读者角色,该角色将对所有内容具有只读访问权限。
set mgt-config users ramesh permissions role-based superreader yes
注意:如果已将用户分配给另一个角色,则上述命令将覆盖以前的角色分配,并将新角色分配给该用户。
5.编辑现有用户–添加公钥
您还可以使用CLI(如下所示)从CLI为用户分配公钥。
为了简单起见,下面仅显示部分公钥。
set mgt-config users john public-key jMkVBQUFBREFRQUJBQ.....QtMQ==
6.为用户分配管理员角色(SuperUser)
以下命令将使用户成为管理员。为此,将超级用户角色分配给现有用户,如下所示。
set mgt-config users ramesh permissions role-based superuser yes
7.为用户分配密码配置文件
如果您已经有密码配置文件,则可以使用password-profile选项将其分配给用户,如下所示。
set mgt-config users ramesh password-profile TheGeekStuffProfile
8.查看现有用户
使用以下mgt-config users命令查看所有现有用户。
# show mgt-config users
users {
admin {
phash $$$12345abcdefghilkWhjuyjjdkj/;
permissions {
role-based {
superuser yes;
}
}
public-key jRMESABCEPRAM.....QaCD==;
}
ramesh {
phash $$$4a1234556mbcdefjJBOMdkais89Bo;
permissions {
role-based {
superuser yes;
}
}
}
}
9.删除现有用户
要删除现有用户,请使用以下命令。以下内容将删除用户权限。
delete mgt-config users ramesh
10.从角色中删除用户
如果您不想删除用户,但是想从角色中删除该用户,请使用以下命令,并且不要传递任何角色名称。
set mgt-config users ramesh permissions role-based
从现有用户,从PaloAlto管理控制台,从浏览器中删除角色后,您将不会在用户列表中看到该用户。
但是从CLI来看,show mgt-config用户仍将向该用户显示没有角色的用户,因为该用户不会被删除。A5互联https://www.a5idc.net/