Konfigurieren von Administrator-Authentifizierung mit Windows 2008-RADIUS-Server (NPS/IAS)
94213
Created On 09/25/18 17:30 PM - Last Modified 06/01/23 03:29 AM
Resolution
Übersicht
Dieses Dokument beschreibt die Schritte zur Konfiguration der admin-Authentifizierung mit einem Windows 2008 RADIUS-Server.
Die Voraussetzungen für diese Konfiguration sind:
- L3-Konnektivität von der Management-Schnittstelle oder Service-Route des Geräts zum RADIUS-Server.
- EIN Windows 2008 Server, der Domain Konten validieren kann.
Schritte
Teil 1: Konfiguration der Palo Alto Networks Firewall
- Gehen Sie zu Device > Server Profile > RADIUS und definieren Sie einen RADIUS-Server
- Gehen Sie zum Gerät > Authentifizierungs Profil und definieren Sie ein Authentifizierungs Profil
- Gehen Sie zu Device > Admin Rollen und definieren Sie eine admin-Rolle. In diesem Fall eine für einen Vsys, nicht Geräte breit:
- Gehen Sie zu Device > Access Domain und definieren Sie eine Zugriffs Domäne
- Gehen Sie zu Device > Setup > Management > Authentifizierungs Einstellungen und stellen Sie sicher, dass das oben erstellte RADIUS-Authentifizierungs Profil ausgewählt wird.
- Gehen Sie zu Device > Administratoren und bestätigen Sie, dass der Benutzer, der authentifiziert werden musste, nicht auf der Box vordefiniert ist.
- Begehen Sie die Konfiguration
Teil 2: Konfiguration des Windows 2008 Server 1. (NPS-Server-Rolle erforderlich)
- Klicken Sie auf Start > Administrative Tools > Netzwerk Policy Server und öffnen Sie NPS-Einstellungen
- Das Palo Alto Networks-Gerät als RADIUS-Client HinzuFügen
- Öffnen Sie den RADIUS Clients und Server Abschnitt
- RADIUS-Clients auswählen
- Klicken Sie mit der rechten Maustaste auf "Neuer RADIUS Client"
: fügen Sie nur einen Namen, eine IP und ein gemeinsames Geheimnis hinzu. Lassen Sie den Namen des Herstellers auf der Standardeinstellung "RADIUS Standard".
- Nach dem Hinzufügen der Clients sollte die Liste so aussehen:
- Gehen Sie zu den Richtlinien und wählen Sie die VerbindungsAnfrage. Vergewissern Sie sich, dass eine Richtlinie zur Authentifizierung der Benutzer durch Windows konfiguriert/geprüft wird.
- Validieren Sie die Übersicht und stellen Sie sicher, dass die RichtLinien aktiviert sind:
- ÜberPrüfen Sie die Registerkarte Bedingungen
- ÜberPrüfen Sie die Registerkarte Einstellungen, in der definiert wird, wie der Benutzer authentifiziert ist.
- Öffnen Sie die Rubrik "Netzwerk Richtlinien". Mit der rechten Maustaste auf die Netzwerk Richtlinien klicken und eine neue Richtlinie hinzufügen.
- Geben Sie der Politik einen Namen
- Gehen Sie zum Reiter Bedingungen und wählen Sie aus, welche Benutzer authentifiziert werden können (am besten nach Gruppen Bezeichnung):
- Gehen Sie zum Reiter Einschränkungen und stellen Sie sicher, dass Sie "unverschlüsselte Authentifizierung (PAP, SPAP)" aktivieren.
- Gehen Sie zum Reiter Einstellungen und konfigurieren Sie die VSAs (Vendor-spezifische Attribute), die zurückgegeben werden, um den Benutzer auf die richtige admin-Rolle und Zugriffs Domäne zu kartieren)
- Wählen Sie Hersteller spezifisch unter dem Abschnitt RADIUS-Attribute
- Klicken Sie in der Scheibe rechts auf "HinzuFügen"
- Wählen Sie "Custom" aus dem Anbieter Drop-Down-Liste
- Die einzige Option, die jetzt in der Attribute-Liste bleibt, ist "Hersteller spezifisch"
- Klick Hinzufügen. Das Attribut-Informationsfenster wird angezeigt.
- Klicken Sie auf die linke Seite, um das HerstellerSpezifische Attribut-Informationsfenster aufzuführen.
- Definieren Sie die VSAs
- Wählen Sie "Vendor Code eingeben" und geben Sie "25461" ein.
- Machen Sie die Auswahl "Ja. Es entspricht ", was festlegt, dass das Attribut den RADIUS-RFC-Spezifikationen für herstellerspezifische Attribute entspricht.
- Klicken Sie auf "Attribut konfigurieren"...
- Die admin-Rolle ist die vom Hersteller zugewiesene Attribut Nummer "1".
- Das Attribut-Format ist "String"
- Der Attribut-Wert ist der admin-Rollenname, in diesem Beispiel "SE-Admin-Access".
- Click OK.
- Klicken Sie auf HinzuFügen, um ein zweites Attribut zu konfigurieren (falls nötig). Attribut Nummer "2" ist die Zugriffs Domäne.
- Der Benutzer muss in der BenutzerGruppe 5 konfiguriert werden
: die Gruppe kann in einer Richtlinie verwendet werden, indem Sie Sie manuell in der entsprechenden Regel tippt/hinzufügt. - Verschiedene Zugriffs-/Berechtigungs Optionen werden nicht nur mit "bekannten" Nutzern (für den allgemeinen Zugriff) zur Verfügung stehen, sondern der RADIUS zurückgegeben Gruppe für mehr "gesicherte" Ressourcen/Regeln.
- Die Liste der Attribute sollte so aussehen:
- Klicken Sie auf "OK", bis alle Optionen gespeichert sind.
- Optional klicken Sie mit der rechten Maustaste auf die bestehende Richtlinie und wählen eine gewünschte Aktion aus.
- Wählen Sie Hersteller spezifisch unter dem Abschnitt RADIUS-Attribute
Teil 3: die Einrichtung validieren
Auf der Firewall
- Versuchen Sie ein falsches Passwort, um diesen System-Log-Eintrag auf der Palo Alto Networks Firewall zu sehen: Monitor > Logs > System
- Mit dem richtigen Passwort gelingt das Login und listet diese Log-Einträge auf:
- ÜberPrüfen Sie die Zugriffsrechte:
Auf der NPS-Seite
- Vom Event-Viewer (Start > Administrative Tools > Event Viewer), suchen Sie nach:
- Sicherheits-Event 6272, "Netzwerk-Policy-Server gewährt Zugang zu einem Benutzer."
- Event 6278, "Network Policy Server gewährte vollen Zugriff auf einen Benutzer, weil der Host die definierte Gesundheitspolitik erfüllt."
- Wählen Sie das Sicherheitsprotokoll, das im Abschnitt Windows Logs aufgelistet ist
- Suchen Sie nach der Task-Kategorie und dem Eintrag "Netzwerk Policy Server"
Siehe auch
Sehen Sie Folgendes für die Konfiguration ähnlicher Setups:
Besitzer: srommens