Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Configuración de autenticación de administrador con Windows 200... - Knowledge Base - Palo Alto Networks

Configuración de autenticación de administrador con Windows 2008 servidor de RADIUS (NPS/IAS)

94215
Created On 09/25/18 17:30 PM - Last Modified 06/01/23 03:29 AM


Resolution


Resumen

Este documento describe los pasos para configurar la autenticación del administrador con un servidor RADIUS de Windows 2008.

Los prerrequisitos para esta configuración son:

  • Conectividad L3 desde la interfaz de administración o la ruta de servicio del dispositivo al servidor RADIUS.
  • UN servidor de Windows 2008 que puede validar cuentas de dominio.

Pasos

Parte 1: configurando el cortafuegos de Palo Alto Networks

  1. Ir al dispositivo > perfiles de servidor > radio y definir un servidor RADIUS
    Sri. jpg
  2. Ir al perfil de autenticación de dispositivo > y definir un perfil de autenticación
    Sri. jpg
  3. Ir al dispositivo > funciones de administración y definir un rol de administrador. En este caso uno para un vsys, no el dispositivo ancho:
    Sri. jpg
  4. Ir al dispositivo > acceder al dominio y definir un dominio de acceso
    Sri. jpg
  5. Ir al dispositivo > configuración > administración > configuración de autenticación y asegúrese de seleccionar el perfil de autenticación RADIUS creado anteriormente
    Sri. jpg
  6. Ir a dispositivo > administradores y validar que el usuario necesario para ser autenticado no está predefinido en el cuadro.
    Sri. jpg
  7. Confirme la configuración

Parte 2: configuración del servidor de Windows 2008 1. (Se requiere rol de servidor NPS)
R6. png

  1. Haga clic en Inicio > Herramientas administrativas > red Policy Server y abrir la configuración de NPS
    R7. png
  2. Agregar el dispositivo Palo Alto Networks como un cliente RADIUS
    1. Abrir la sección clientes y servidores RADIUS
    2. Seleccionar clientes RADIUS
    3. Haga clic con el botón derecho y seleccione ' nuevo cliente RADIUS '
      R8. png
      Nota: sólo agregue un nombre, IP y un secreto compartido. Deje el nombre del proveedor en la configuración estándar, "RADIUS Standard".
  3. Después de agregar los clientes, la lista debe tener este aspecto:
    R9. png
  4. Vaya a directivas y seleccione directivas de solicitud de conexión. Asegúrese de que se ha configurado/comprobado una directiva para autenticar a los usuarios a través de Windows.
  5. Valide la ficha visión general y asegúrese de que la Directiva está activada:
    dolares. png
  6. Comprobar la ficha condiciones
    R11. png
  7. Marque la ficha Configuración donde se define cómo se autentica el usuario.
    R12. png
  8. Abra la sección "directivas de red". Haga clic con el botón derecho en directivas de red y añada una nueva Directiva.
    R13. png
  9. Dar un nombre a la póliza
    R14. png
  10. Vaya a la ficha condiciones y seleccione qué usuarios se pueden autenticar (mejor por designación de grupo):
    R15. png
  11. Vaya a la ficha restricciones y asegúrese de habilitar "autenticación sin encriptar (PAP, SPAP)"
    R16. png
  12. Vaya a la ficha Configuración y configure el VSAs (atributos específicos de proveedor) que se devolverá para asignar el usuario a la función de administración correcta y al dominio de acceso)
    1. Seleccionar proveedor específico en la sección atributos RADIUS
      R17. png
    2. Haga clic en "agregar" en el panel a la derecha
    3. Seleccione "Custom" en la lista desplegable proveedor
    4. La única opción que queda ahora en la lista de atributos es "específico del proveedor"
      R18. png
    5. Haga clic en Agregar. Se mostrará la ventana de información de atributos.
    6. Haga clic en agregar en el lado izquierdo para que la ventanaR19. png de información de atributos específica del proveedor
    7. Definir el VSAs
      1. Seleccione "introducir código de proveedor" e ingrese "25461".
      2. Haz la selección "sí. Se ajusta a ", estipulando que el atributo cumple con las especificaciones RFC de RADIUS para los atributos específicos del proveedor.
      3. Haga clic en "configurar atributo..."
      4. El rol admin es el número de atributo asignado por el proveedor "1".
      5. El formato de atributo es "String"
      6. El valor del atributo es el nombre del rol admin, en este ejemplo, "SE-admin-Access".
        R20. png
      7. Haga clic en Aceptar.
      8. Haga clic en Agregar para configurar un segundo atributo (si es necesario). El número de atributo "2" es el dominio de acceso.
        R21. png
      9. El usuario debe configurarse en el grupo de usuarios 5
        Nota: el grupo se puede utilizar en una directiva escribiendo/agregando manualmente en la regla apropiada.
      10. Diferentes opciones de acceso/autorización estarán disponibles no sólo utilizando usuarios "conocidos" (para acceso general), sino el grupo RADIUS devuelto para más recursos/reglas "aseguradas".
      11. La lista de atributos debería verse así:
        R22. png
    8. Haga clic en "Aceptar" hasta que todas las opciones se guarden.
      R23. png
    9. Opcionalmente, haga clic con el botón derecho en la directiva existente y seleccione una acción deseada.
      R24. png

Parte 3: validar la configuración

En el cortafuegos

  1. Intente una contraseña incorrecta para ver esta entrada de registro del sistema en el cortafuego de Palo Alto Networks: monitor > logs > sistema
    Sri. jpg
  2. Con la contraseña correcta, el inicio de sesión tiene éxito y enumera estas entradas de registro:
    Sri. jpg
  3. Comprueba los derechos de acceso:
    Sri. jpg


En el lado NPS

  1. Desde el visor de sucesos (Inicio > Herramientas administrativas > visor de eventos), busque:
    • Evento de seguridad 6272, "el servidor de directivas de red conCedió acceso a un usuario."
    • Evento 6278, "el servidor de directivas de red concedió acceso total a un usuario porque el host cumplía la política de salud definida".
  2. Seleccione el registro de seguridad que aparece en la sección logs de Windows
  3. Buscar categoría de tarea y la entrada "servidor de directivas de red"

Ver también

Vea lo siguiente para configurar configuraciones similares:

Propietario: srommens



Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClGMCA0&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language