Configuración de autenticación de administrador con Windows 2008 servidor de RADIUS (NPS/IAS)
94215
Created On 09/25/18 17:30 PM - Last Modified 06/01/23 03:29 AM
Resolution
Resumen
Este documento describe los pasos para configurar la autenticación del administrador con un servidor RADIUS de Windows 2008.
Los prerrequisitos para esta configuración son:
- Conectividad L3 desde la interfaz de administración o la ruta de servicio del dispositivo al servidor RADIUS.
- UN servidor de Windows 2008 que puede validar cuentas de dominio.
Pasos
Parte 1: configurando el cortafuegos de Palo Alto Networks
- Ir al dispositivo > perfiles de servidor > radio y definir un servidor RADIUS
- Ir al perfil de autenticación de dispositivo > y definir un perfil de autenticación
- Ir al dispositivo > funciones de administración y definir un rol de administrador. En este caso uno para un vsys, no el dispositivo ancho:
- Ir al dispositivo > acceder al dominio y definir un dominio de acceso
- Ir al dispositivo > configuración > administración > configuración de autenticación y asegúrese de seleccionar el perfil de autenticación RADIUS creado anteriormente
- Ir a dispositivo > administradores y validar que el usuario necesario para ser autenticado no está predefinido en el cuadro.
- Confirme la configuración
Parte 2: configuración del servidor de Windows 2008 1. (Se requiere rol de servidor NPS)
- Haga clic en Inicio > Herramientas administrativas > red Policy Server y abrir la configuración de NPS
- Agregar el dispositivo Palo Alto Networks como un cliente RADIUS
- Abrir la sección clientes y servidores RADIUS
- Seleccionar clientes RADIUS
- Haga clic con el botón derecho y seleccione ' nuevo cliente RADIUS '
Nota: sólo agregue un nombre, IP y un secreto compartido. Deje el nombre del proveedor en la configuración estándar, "RADIUS Standard".
- Después de agregar los clientes, la lista debe tener este aspecto:
- Vaya a directivas y seleccione directivas de solicitud de conexión. Asegúrese de que se ha configurado/comprobado una directiva para autenticar a los usuarios a través de Windows.
- Valide la ficha visión general y asegúrese de que la Directiva está activada:
- Comprobar la ficha condiciones
- Marque la ficha Configuración donde se define cómo se autentica el usuario.
- Abra la sección "directivas de red". Haga clic con el botón derecho en directivas de red y añada una nueva Directiva.
- Dar un nombre a la póliza
- Vaya a la ficha condiciones y seleccione qué usuarios se pueden autenticar (mejor por designación de grupo):
- Vaya a la ficha restricciones y asegúrese de habilitar "autenticación sin encriptar (PAP, SPAP)"
- Vaya a la ficha Configuración y configure el VSAs (atributos específicos de proveedor) que se devolverá para asignar el usuario a la función de administración correcta y al dominio de acceso)
- Seleccionar proveedor específico en la sección atributos RADIUS
- Haga clic en "agregar" en el panel a la derecha
- Seleccione "Custom" en la lista desplegable proveedor
- La única opción que queda ahora en la lista de atributos es "específico del proveedor"
- Haga clic en Agregar. Se mostrará la ventana de información de atributos.
- Haga clic en agregar en el lado izquierdo para que la ventana de información de atributos específica del proveedor
- Definir el VSAs
- Seleccione "introducir código de proveedor" e ingrese "25461".
- Haz la selección "sí. Se ajusta a ", estipulando que el atributo cumple con las especificaciones RFC de RADIUS para los atributos específicos del proveedor.
- Haga clic en "configurar atributo..."
- El rol admin es el número de atributo asignado por el proveedor "1".
- El formato de atributo es "String"
- El valor del atributo es el nombre del rol admin, en este ejemplo, "SE-admin-Access".
- Haga clic en Aceptar.
- Haga clic en Agregar para configurar un segundo atributo (si es necesario). El número de atributo "2" es el dominio de acceso.
- El usuario debe configurarse en el grupo de usuarios 5
Nota: el grupo se puede utilizar en una directiva escribiendo/agregando manualmente en la regla apropiada. - Diferentes opciones de acceso/autorización estarán disponibles no sólo utilizando usuarios "conocidos" (para acceso general), sino el grupo RADIUS devuelto para más recursos/reglas "aseguradas".
- La lista de atributos debería verse así:
- Haga clic en "Aceptar" hasta que todas las opciones se guarden.
- Opcionalmente, haga clic con el botón derecho en la directiva existente y seleccione una acción deseada.
- Seleccionar proveedor específico en la sección atributos RADIUS
Parte 3: validar la configuración
En el cortafuegos
- Intente una contraseña incorrecta para ver esta entrada de registro del sistema en el cortafuego de Palo Alto Networks: monitor > logs > sistema
- Con la contraseña correcta, el inicio de sesión tiene éxito y enumera estas entradas de registro:
- Comprueba los derechos de acceso:
En el lado NPS
- Desde el visor de sucesos (Inicio > Herramientas administrativas > visor de eventos), busque:
- Evento de seguridad 6272, "el servidor de directivas de red conCedió acceso a un usuario."
- Evento 6278, "el servidor de directivas de red concedió acceso total a un usuario porque el host cumplía la política de salud definida".
- Seleccione el registro de seguridad que aparece en la sección logs de Windows
- Buscar categoría de tarea y la entrada "servidor de directivas de red"
Ver también
Vea lo siguiente para configurar configuraciones similares:
Propietario: srommens