Konfigurieren von Administrator-Authentifizierung mit Windows 2008-RADIUS-Server (NPS/IAS)

Übersicht

Dieses Dokument beschreibt die Schritte zur Konfiguration der admin-Authentifizierung mit einem Windows 2008 RADIUS-Server.

Die Voraussetzungen für diese Konfiguration sind:

• L3-Konnektivität von der Management-Schnittstelle oder Service-Route des Geräts zum RADIUS-Server.
• EIN Windows 2008 Server, der Domain Konten validieren kann.

Schritte

Teil 1: Konfiguration der Palo Alto Networks Firewall

1. Gehen Sie zu Device > Server Profile > RADIUS und definieren Sie einen RADIUS-Server
   
2. Gehen Sie zum Gerät > Authentifizierungs Profil und definieren Sie ein Authentifizierungs Profil
   
3. Gehen Sie zu Device > Admin Rollen und definieren Sie eine admin-Rolle. In diesem Fall eine für einen Vsys, nicht Geräte breit:
   
4. Gehen Sie zu Device > Access Domain und definieren Sie eine Zugriffs Domäne
   
5. Gehen Sie zu Device > Setup > Management > Authentifizierungs Einstellungen und stellen Sie sicher, dass das oben erstellte RADIUS-Authentifizierungs Profil ausgewählt wird.
   
6. Gehen Sie zu Device > Administratoren und bestätigen Sie, dass der Benutzer, der authentifiziert werden musste, nicht auf der Box vordefiniert ist.
   
7. Begehen Sie die Konfiguration

Teil 2: Konfiguration des Windows 2008 Server 1. (NPS-Server-Rolle erforderlich)

1. Klicken Sie auf Start > Administrative Tools > Netzwerk Policy Server und öffnen Sie NPS-Einstellungen
   
2. Das Palo Alto Networks-Gerät als RADIUS-Client HinzuFügen
   1. Öffnen Sie den RADIUS Clients und Server Abschnitt
   2. RADIUS-Clients auswählen
   3. Klicken Sie mit der rechten Maustaste auf "Neuer RADIUS Client"
      
      : fügen Sie nur einen Namen, eine IP und ein gemeinsames Geheimnis hinzu. Lassen Sie den Namen des Herstellers auf der Standardeinstellung "RADIUS Standard".
3. Nach dem Hinzufügen der Clients sollte die Liste so aussehen:
   
4. Gehen Sie zu den Richtlinien und wählen Sie die VerbindungsAnfrage. Vergewissern Sie sich, dass eine Richtlinie zur Authentifizierung der Benutzer durch Windows konfiguriert/geprüft wird.
5. Validieren Sie die Übersicht und stellen Sie sicher, dass die RichtLinien aktiviert sind:
   
6. ÜberPrüfen Sie die Registerkarte Bedingungen
   
7. ÜberPrüfen Sie die Registerkarte Einstellungen, in der definiert wird, wie der Benutzer authentifiziert ist.
   
8. Öffnen Sie die Rubrik "Netzwerk Richtlinien". Mit der rechten Maustaste auf die Netzwerk Richtlinien klicken und eine neue Richtlinie hinzufügen.
   
9. Geben Sie der Politik einen Namen
   
10. Gehen Sie zum Reiter Bedingungen und wählen Sie aus, welche Benutzer authentifiziert werden können (am besten nach Gruppen Bezeichnung):
    
11. Gehen Sie zum Reiter Einschränkungen und stellen Sie sicher, dass Sie "unverschlüsselte Authentifizierung (PAP, SPAP)" aktivieren.
    
12. Gehen Sie zum Reiter Einstellungen und konfigurieren Sie die VSAs (Vendor-spezifische Attribute), die zurückgegeben werden, um den Benutzer auf die richtige admin-Rolle und Zugriffs Domäne zu kartieren)
    1. Wählen Sie Hersteller spezifisch unter dem Abschnitt RADIUS-Attribute
       
    2. Klicken Sie in der Scheibe rechts auf "HinzuFügen"
    3. Wählen Sie "Custom" aus dem Anbieter Drop-Down-Liste
    4. Die einzige Option, die jetzt in der Attribute-Liste bleibt, ist "Hersteller spezifisch"
       
    5. Klick Hinzufügen. Das Attribut-Informationsfenster wird angezeigt.
    6. Klicken Sie auf die linke Seite, um das HerstellerSpezifische Attribut-Informationsfenster aufzuführen.
    7. Definieren Sie die VSAs
       1. Wählen Sie "Vendor Code eingeben" und geben Sie "25461" ein.
       2. Machen Sie die Auswahl "Ja. Es entspricht ", was festlegt, dass das Attribut den RADIUS-RFC-Spezifikationen für herstellerspezifische Attribute entspricht.
       3. Klicken Sie auf "Attribut konfigurieren"...
       4. Die admin-Rolle ist die vom Hersteller zugewiesene Attribut Nummer "1".
       5. Das Attribut-Format ist "String"
       6. Der Attribut-Wert ist der admin-Rollenname, in diesem Beispiel "SE-Admin-Access".
          
       7. Click OK.
       8. Klicken Sie auf HinzuFügen, um ein zweites Attribut zu konfigurieren (falls nötig). Attribut Nummer "2" ist die Zugriffs Domäne.
          
       9. Der Benutzer muss in der BenutzerGruppe 5 konfiguriert werden
          : die Gruppe kann in einer Richtlinie verwendet werden, indem Sie Sie manuell in der entsprechenden Regel tippt/hinzufügt.
       10. Verschiedene Zugriffs-/Berechtigungs Optionen werden nicht nur mit "bekannten" Nutzern (für den allgemeinen Zugriff) zur Verfügung stehen, sondern der RADIUS zurückgegeben Gruppe für mehr "gesicherte" Ressourcen/Regeln.
       11. Die Liste der Attribute sollte so aussehen:
           
    8. Klicken Sie auf "OK", bis alle Optionen gespeichert sind.
       
    9. Optional klicken Sie mit der rechten Maustaste auf die bestehende Richtlinie und wählen eine gewünschte Aktion aus.
       

Teil 3: die Einrichtung validieren

Auf der Firewall

1. Versuchen Sie ein falsches Passwort, um diesen System-Log-Eintrag auf der Palo Alto Networks Firewall zu sehen: Monitor > Logs > System
   
2. Mit dem richtigen Passwort gelingt das Login und listet diese Log-Einträge auf:
   
3. ÜberPrüfen Sie die Zugriffsrechte:
   

Auf der NPS-Seite

1. Vom Event-Viewer (Start > Administrative Tools > Event Viewer), suchen Sie nach:
   • Sicherheits-Event 6272, "Netzwerk-Policy-Server gewährt Zugang zu einem Benutzer."
   • Event 6278, "Network Policy Server gewährte vollen Zugriff auf einen Benutzer, weil der Host die definierte Gesundheitspolitik erfüllt."
2. Wählen Sie das Sicherheitsprotokoll, das im Abschnitt Windows Logs aufgelistet ist
3. Suchen Sie nach der Task-Kategorie und dem Eintrag "Netzwerk Policy Server"

Siehe auch

Sehen Sie Folgendes für die Konfiguration ähnlicher Setups:

• RADIUS VSA Wörterbuch-Datei für Cisco ACS-PaloAltoVSA. ini
• RADIUS WörterBuch-Datei

Besitzer: srommens