Configuración de autenticación de administrador con Windows 2008 servidor de RADIUS (NPS/IAS)

Resumen

Este documento describe los pasos para configurar la autenticación del administrador con un servidor RADIUS de Windows 2008.

Los prerrequisitos para esta configuración son:

• Conectividad L3 desde la interfaz de administración o la ruta de servicio del dispositivo al servidor RADIUS.
• UN servidor de Windows 2008 que puede validar cuentas de dominio.

Pasos

Parte 1: configurando el cortafuegos de Palo Alto Networks

1. Ir al dispositivo > perfiles de servidor > radio y definir un servidor RADIUS
   
2. Ir al perfil de autenticación de dispositivo > y definir un perfil de autenticación
   
3. Ir al dispositivo > funciones de administración y definir un rol de administrador. En este caso uno para un vsys, no el dispositivo ancho:
   
4. Ir al dispositivo > acceder al dominio y definir un dominio de acceso
   
5. Ir al dispositivo > configuración > administración > configuración de autenticación y asegúrese de seleccionar el perfil de autenticación RADIUS creado anteriormente
   
6. Ir a dispositivo > administradores y validar que el usuario necesario para ser autenticado no está predefinido en el cuadro.
   
7. Confirme la configuración

Parte 2: configuración del servidor de Windows 2008 1. (Se requiere rol de servidor NPS)

1. Haga clic en Inicio > Herramientas administrativas > red Policy Server y abrir la configuración de NPS
   
2. Agregar el dispositivo Palo Alto Networks como un cliente RADIUS
   1. Abrir la sección clientes y servidores RADIUS
   2. Seleccionar clientes RADIUS
   3. Haga clic con el botón derecho y seleccione ' nuevo cliente RADIUS '
      
      Nota: sólo agregue un nombre, IP y un secreto compartido. Deje el nombre del proveedor en la configuración estándar, "RADIUS Standard".
3. Después de agregar los clientes, la lista debe tener este aspecto:
   
4. Vaya a directivas y seleccione directivas de solicitud de conexión. Asegúrese de que se ha configurado/comprobado una directiva para autenticar a los usuarios a través de Windows.
5. Valide la ficha visión general y asegúrese de que la Directiva está activada:
   
6. Comprobar la ficha condiciones
   
7. Marque la ficha Configuración donde se define cómo se autentica el usuario.
   
8. Abra la sección "directivas de red". Haga clic con el botón derecho en directivas de red y añada una nueva Directiva.
   
9. Dar un nombre a la póliza
   
10. Vaya a la ficha condiciones y seleccione qué usuarios se pueden autenticar (mejor por designación de grupo):
    
11. Vaya a la ficha restricciones y asegúrese de habilitar "autenticación sin encriptar (PAP, SPAP)"
    
12. Vaya a la ficha Configuración y configure el VSAs (atributos específicos de proveedor) que se devolverá para asignar el usuario a la función de administración correcta y al dominio de acceso)
    1. Seleccionar proveedor específico en la sección atributos RADIUS
       
    2. Haga clic en "agregar" en el panel a la derecha
    3. Seleccione "Custom" en la lista desplegable proveedor
    4. La única opción que queda ahora en la lista de atributos es "específico del proveedor"
       
    5. Haga clic en Agregar. Se mostrará la ventana de información de atributos.
    6. Haga clic en agregar en el lado izquierdo para que la ventana de información de atributos específica del proveedor
    7. Definir el VSAs
       1. Seleccione "introducir código de proveedor" e ingrese "25461".
       2. Haz la selección "sí. Se ajusta a ", estipulando que el atributo cumple con las especificaciones RFC de RADIUS para los atributos específicos del proveedor.
       3. Haga clic en "configurar atributo..."
       4. El rol admin es el número de atributo asignado por el proveedor "1".
       5. El formato de atributo es "String"
       6. El valor del atributo es el nombre del rol admin, en este ejemplo, "SE-admin-Access".
          
       7. Haga clic en Aceptar.
       8. Haga clic en Agregar para configurar un segundo atributo (si es necesario). El número de atributo "2" es el dominio de acceso.
          
       9. El usuario debe configurarse en el grupo de usuarios 5
          Nota: el grupo se puede utilizar en una directiva escribiendo/agregando manualmente en la regla apropiada.
       10. Diferentes opciones de acceso/autorización estarán disponibles no sólo utilizando usuarios "conocidos" (para acceso general), sino el grupo RADIUS devuelto para más recursos/reglas "aseguradas".
       11. La lista de atributos debería verse así:
           
    8. Haga clic en "Aceptar" hasta que todas las opciones se guarden.
       
    9. Opcionalmente, haga clic con el botón derecho en la directiva existente y seleccione una acción deseada.
       

Parte 3: validar la configuración

En el cortafuegos

1. Intente una contraseña incorrecta para ver esta entrada de registro del sistema en el cortafuego de Palo Alto Networks: monitor > logs > sistema
   
2. Con la contraseña correcta, el inicio de sesión tiene éxito y enumera estas entradas de registro:
   
3. Comprueba los derechos de acceso:
   

En el lado NPS

1. Desde el visor de sucesos (Inicio > Herramientas administrativas > visor de eventos), busque:
   • Evento de seguridad 6272, "el servidor de directivas de red conCedió acceso a un usuario."
   • Evento 6278, "el servidor de directivas de red concedió acceso total a un usuario porque el host cumplía la política de salud definida".
2. Seleccione el registro de seguridad que aparece en la sección logs de Windows
3. Buscar categoría de tarea y la entrada "servidor de directivas de red"

Ver también

Vea lo siguiente para configurar configuraciones similares:

• Archivo de Diccionario de RADIUS VSA para Cisco ACS-PaloAltoVSA. ini
• Archivo de diccionario RADIUS

Propietario: srommens