【Paloalto】ユーザーをCLIで作成してみた

Paloalto Paloalto
この記事は約3分で読めます。

PaloaltoでユーザーをCLIで作成してみました。

今回は仮想アプライアンスとして palaolto を利用しており、PAN-OSは 11.2.8 を利用しています。

広告

1.ユーザーをCLIで作成する

以下のコマンドでユーザーを作成することができます。
コマンドはコンフィグレーションモードで実行してください。

 # コンフィグレーションモードに変更
cofigure

 # ユーザ作成とパスワードの設定
set mgt-config users testuser01 password

 # 権限の付与(deviceadmin or devicereader or superreader or superuser)
set mgt-config users testuser01 permissions role-based superreader yes

 # コミットして設定を反映させる
commit

今回は、「testuser01」という名前のユーザを「スーパーユーザ(読み取り専用)」で作成しています。

パスワードの設定コマンドを実行すると以下のように確認含めて2回入力が求められます。

hogeuser@host1# set mgt-config users testuser01 password
Enter password   :
Confirm password :

[edit]
hogeuser@host1#

ユーザが作成されたことは以下のコマンドで確認できます。

show mgt-config users

1-1.実行結果(ユーザー情報の確認)

hogeuser@host1# show mgt-config users
users {
  testuser01 {
    phash $5$eojigiwt$ee9DX9oLXewBDjMyz8NqHODjx9xh4ecFZm7nZp4rqY4;
    permissions {
      role-based {
        superreader yes;
      }
    }
  }
}
[edit]
hogeuser@host1#

最後に設定を反映させるためにコミットするのを忘れないでください。

2.パスワードプロファイルを設定する場合

以下のコマンドで設定可能です。

set mgt-config users testuser02 password-profile <パスワードプロファイル名>

パスワードプロファイルの作成方法は以下の記事にまとめていますので参考にしてください。

3.ユーザーの削除

ユーザーを削除する場合には以下のコマンドで削除可能です。

delete mgt-config users testuser01

4.気づいた点

4-1.ユーザ名とパスワードを設定しただけではGUI上で確認できない

CLIでユーザーを作成した場合、権限を付与しないと(=ユーザ名とパスワードを設定しただけ)GUI上では確認できません。

ただし、CLIでは確認できます。

CLIでは作成したユーザーが確認可能

CLIでは作成したユーザーが確認可能

GUIでは作成したユーザーが確認できない

GUIでは作成したユーザーが確認できない

原因は、ユーザーに権限が付与されていないためです。
権限の付与はGUIでユーザーを作成する場合には必須のパラメータであるため、GUI上では表示できないのだと思われます。

権限をつけないことはないと思いますが、挙動として押さえておくといいかと思います。