【palaolto】ユーザーをCLIで作成してみた

paloaltoでユーザーをCLIで設定してみました。

今回は仮想アプライアンスとして palaolto を利用しており、PAN-OSは [10.1.8] を利用しています。

CLIでユーザーを作成する
パスワードプロファイルを設定する場合
ユーザーの削除
気づいた点
1. ユーザ名とパスワードを設定しただけではGUI上で確認できない

CLIでユーザーを作成する

以下のコマンドでユーザーを作成することができます。
コマンドはコンフィグレーションモードで実行してください。

 #ユーザ作成とパスワードの設定
set mgt-config users ＜ユーザー名＞ password

 #権限の付与
set mgt-config users ＜ユーザー名＞ permissions role-based ＜deviceadmin or devicereader or superreader or superuser＞ yes

・記載例

 #ユーザ作成とパスワードの設定
set mgt-config users testuser password

 #権限の付与
set mgt-config users testuser permissions role-based superreader yes

上記の記載例では、「testuser」という名前のユーザを「スーパーユーザ（読み取り専用）」で作成しています。

パスワードの設定コマンドを実行すると以下のように確認含めて2回入力が求められます。

ユーザが作成されたことは以下のコマンドで確認できます。

show mgt-config users

・実行結果

hogeuser@host1# show mgt-config users
users {
  testuser {
    phash $5$bpmiaiyr$UZt4Euflfo5bze4WdXCaghEcBP4k6FZJ9jyu7oCiU98;
    permissions {
      role-based {
        superreader yes;
      }
    }
  }
}
[edit]
hogeuser@host1#

最後に設定を反映させるためにコミットするのを忘れないでください。

パスワードプロファイルを設定する場合

以下のコマンドで設定可能です。

set mgt-config users testuser2 password-profile ＜パスワードプロファイル名＞

パスワードプロファイルの作成方法は以下の記事にまとめていますので参考にしてください。

【paloalto】CLIでパスワードプロファイルを設定してみた

paloaltoでパスワードプロファイルをCLIで設定してみました。また、パスワードプロファイルの各設定値の挙動についても調べてみました。今回は仮想アプライアンスとして palaolto を利用しており、PAN-OSは [10.1.8] を利用しています。

ユーザーの削除

ユーザーを削除する場合には以下のコマンドで削除可能です。

delete mgt-config users ＜ユーザー名＞

・記載例

delete mgt-config users testuser

気づいた点

ユーザ名とパスワードを設定しただけではGUI上で確認できない

CLIでユーザーを作成した場合、ユーザ名とパスワードを設定しただけではGUI上では確認できません。
ただし、CLIでは確認できます。

・CLIでは作成したユーザーが確認可能

・GUIでは作成したユーザーが確認できない

この原因はおそらくユーザーに権限が付与されていないためです。
GUIでユーザーを作成する場合には必須のパラメータであるため、GUI上では表示できないのだと思われます。

なお、この状態で作成したユーザーでログインを試みると、「Not authorized」と表示されログインすることができません。

作成したユーザーでログインを試みると、「Not authorized」と表示されログインすることができない

ですが、ユーザーが存在しない場合には「IDまたはPWが間違っています」という表示となるためユーザーが作成されていることはこの表示からも分かるかと思います。

【paloalto】CLIでユーザーを設定してみた