Tacacs with CPPM and Palo Alto

ဒီနေ့ clearpass policy manger နဲ့ palo alto ကို tacacs integration လုပ်ကြည့်တာအဆင်ပြေတယ်။ CPPM 6.6.0 နဲ့ palo alto 7.1.0
palo alto ကို login ဝင်လိုက်ရင် CPPM မှာ ရှိတဲ့ local user ဒါမမဟုတ် AD မှာ ရှိတဲ့ login account ကို သုံးပီးတော့ authentication လုပ်တယ်။ ခုစမ်းထားတာကတော့ local user ကို သုံးထားပါတယ်။ ဘာလို့စမ်းဖြစ်လဲဆိုတော့ customer ဆီမှာ သွားလုပ်တာ အဆင်မပြေလို့ VM မှာ စမ်းကြည့်ဖြစ်သွားတာ။ ခုတော့ CPPM ကို 6.6.7 ကို update လုပ်နေတယ်။ အဆင်ပြေပါမလားတော့ မသိဘူး။ ကျွန်တော့် laptop က hardware နိမ့်တော့ အဆင်ပြေမပြေ မသေချာဘူး။ ရတယ်ဆိုရင်တော့ ဘယ်လိုလုပ်လဲဆိုတာ ထပ်ရေးပါဦးမယ်။

Advertisements

change faulty CPPM from cluster

ClearPass ဆိုတာက Aruba ကနေထုတ်တဲ့ Radius server၊ အလုပ်ထဲမှာ သုံးလို့ အဲဒီအကြောင်းကို လေ့လာခွင့်ရခဲ့တယ်။ အဖွဲ့အစည်းတစ်ခုအတွက် clearpass တလုံးထက်ပိုပြီးသုံးဖို့လိုတယ်ဆိုရင် သူတို့အခေါ်အရ cluster လုပ်လိုက်တယ်။ အဲဒီမှာက publisher တစ်ခုပဲရှိတယ်။ ပြီးရင် ကျန်တဲ့ဟာတွေက subscriber တွေ။ သဘောကတော့ publisher က master ပဲ။ တစ်ခုခုပြောင်းချင်ရင် publisher မှာပဲ ပြောင်းရတယ်။ အဲဒီပြောင်းလိုက်တာက သူ့အောက်မှာရှိတဲ့ subscriber တွေဆီကို sync လုပ်သွားတယ်။ တစ်နေ့က လိုအပ်ချက်အရ publisher မှာ hardware problem တစ်ခုဖြစ်တော့ အပိုတစ်ခုနဲ့ ခဏလဲပေးရတယ်။ ပြီးတော့မ vendor ကို ဆက်သွယ်ပြီးတော့ hardware လဲတပ်၊ ပြီးတော့မ ပြန်လဲပေးရတယ်။ အဲလိုလုပ်ဖို့ အောက်ကအဆင့်အတိုင်းလုပ်ပေးဖို့လိုပါတယ်။

  1. remove virtual IP address setting (if have)
  2. off the standby publisher setting
  3. manual promote to other cppm (old cppm will become subscriber)
  4. drop the old cppm from the cluster
  5. add the new cppm to the cluster
  6. manual promote new cppm as publisher
  7. configure the virtual ip address
  8. on the standby publisher

အဲဒါတွေလုပ်ပြီးရင် အရင်အတိုင်းပဲ ပြန်ဖြစ်သွားပါဘီ။ configure လုပ်ထားတဲ့ setting တွေမှန်မမှန်ပြန်စစ်ကြည့်ဖို့တော့လိုပါမယ်။