Palo Alto ターゲット コネクタの追加

PAN-OS ソフトウェアを使用する Palo Alto ルータ上のアカウントを管理するには、Palo Alto コネクタを使用します。このコネクタは、SSHv2 プロトコルを通信に使用します。
capam32
PAN-OS ソフトウェアを使用する Palo Alto ルータ上のアカウントを管理するには、Palo Alto コネクタを使用します。このコネクタは、SSHv2 プロトコルを通信に使用します。
2
ターゲット アプリケーションとコネクタの追加
UI で以下の手順に従います。
  1. [認証情報]
    -
    [ターゲット管理]
    -
    [アプリケーション]
    を選択します。 
  2. 追加
    ]を選択します。
  3. 以下のフィールドで値を選択または入力します。
    • ホスト名。
      虫眼鏡アイコンを選択して、ターゲット サーバを選択します。
    • デバイス名
    • アプリケーション名。
      アプリケーション名は、特定のターゲット サーバに対して一意である必要があります。
  4. [アプリケーション タイプ]
    フィールドで、
    [Palo Alto]
    を選択します。 
  5. (オプション)パスワード構成ポリシーを選択します。
    パスワード構成ポリシーを選択しない場合、デフォルト ポリシーが使用されます。デフォルト ポリシーでは、文字の種類の制限なしで、最小長 4 文字、最大長 16 文字が規定されています。
  6. [SSH-2]
    タブを選択し、以下の 2 つのフィールドに値を入力して、接続を設定します。
    • ポート: SSH を使用して Palo Alto ホストに接続するポートを入力します。デフォルト: 22
    • 通信タイムアウト: 接続を終了する前に、アプライアンスがリモート ターゲット サーバからの通信を待機する時間を指定します。デフォルト: 60000 ミリ秒
  7. [OK]
    を選択します。
スクリプトを使用した通信の簡略化(オプション)
Palo Alto ターゲット コネクタには、リモート ホストとの通信を処理するための大量の低レベル コードが含まれます。認証情報マネージャは、このような通信の簡略化に、スクリプト プロセッサを使用できます。
スクリプト プロセッサ(Java で記述)は、リモート ホスト上の認証情報を操作するためのロジックの高度なバージョンを実行します。2 つのスクリプトを使用すると、テスト環境および実稼働環境でさまざまなレベルを使用できます。一方のスクリプトはパスワードを確認し、もう一方のスクリプトはパスワードを更新します。
アプライアンスで提供されるデフォルト スクリプトのセット。デフォルト スクリプトを使用するには、デフォルト プロンプトとコマンドの値を組み合わせて設定します。
ターゲット アプリケーションおよびターゲット アカウントを追加すると、UI または CLI でスクリプト設定を設定できます。
スクリプトの生成
UI でスクリプトを生成するには、以下の手順に従います。
  1. [スクリプト プロセッサ]
    タブを選択します。
  2. [スクリプト タイムアウト]フィールドに、アプライアンスがリモート ホストからの予期されている入力の受信を待機する時間の量を、5000 ミリ秒から 59999 ミリ秒までの範囲で入力します。デフォルト: 5000
  3. 指定すると、以下のプロンプトおよびコマンドがデフォルトのスクリプトの適切な場所(変数)に置き換えられます。代替文字列を入力できます。
    • パスワード変更プロンプト:
      期限切れによりパスワードを変更することをリクエストするときに、リモート ホスト プロンプトと照合する正規表現。
      デフォルト: (?si).*?change your password.*?
    • パスワード確認プロンプト:
      パスワード確認をリクエストするときに、リモート ホスト プロンプトと照合する正規表現です。
      デフォルト: (?si).*?password:.*?
    • パスワード入力プロンプト:
      パスワードをリクエストするときに、リモート ホスト プロンプトと照合する正規表現です。
      デフォルト:
      (?si)(.*?password(\sfor|:).*?)
    • ユーザ名の入力プロンプト:
      ユーザ名をリクエストするときに、リモート ホスト プロンプトと照合する正規表現です。
      デフォルト:
      (?si).*?login:.*?
       
認証情報の更新と検証のためのスクリプトの適用
以下の手順に従います。
  1. [認証情報スクリプト]
    タブを選択します。
  2. [Update and Verify (更新と検証)]セクションで、利用可能なオプションのいずれかを選択します。
    デフォルト スクリプトを使用することをお勧めします。改訂スクリプトが必要な場合は、CA Services にお問い合わせください。
    • デフォルトのスクリプトを使用
      アプライアンスでこのオプションを選択し、このリリースで提供されるデフォルトのスクリプトを使用します。スクリプトのロジックに変更が必要な場合は、CA Services にお問い合わせください。
    • 改訂されたデフォルト スクリプトを使用(パッチが必要)
      このオプションを選択し、CA Services によって提供される改訂スクリプトを使用します。ドロップダウン リストから、適切なスクリプトを選択します。
    • 置換スクリプトを使用
      このオプションを選択して、置換スクリプトを使用します。このオプションを選択すると、
      [置換スクリプト]
      テキスト ボックスが開きます。テキスト ボックスに新しいスクリプトを貼り付けてから、操作をやり直してください。
      アプライアンスが OS 環境に適合するように、複数の置換スクリプトを試してみる必要が生じる場合があります。置換スクリプトの編集は、CA Services の支援がある場合にのみ行ってください。
    カスタム スクリプトに対するカスタマの責任:
    カスタム スクリプトを作成する場合、ユーザはターゲット アプリケーションとターゲット エンドポイントの間の操作に責任を持ちます。
    では、
    PAM
    がカスタム ターゲット アプリケーションに情報を渡す時点までの操作に責任を持ちます。それ以降、ユーザはカスタム スクリプトで通信を運用上安全なレベルで処理する方法に責任を持ちます。