Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Configuration de l’authentification de l’administrateur avec Wi... - Knowledge Base - Palo Alto Networks

Configuration de l’authentification de l’administrateur avec Windows 2008 serveur RADIUS (NPS/IAS)

94213
Created On 09/25/18 17:30 PM - Last Modified 06/01/23 03:29 AM


Resolution


Vue d’ensemble

Ce document décrit les étapes à suivre pour configurer l'authentification admin avec un serveur RADIUS Windows 2008.

Les conditions requises pour cette configuration sont:

  • L3 connectivité de l'interface de gestion ou de la route de service du périphérique vers le serveur RADIUS.
  • UN serveur Windows 2008 qui peut valider des comptes de domaine.

Étapes

Partie 1: configuration du pare-feu de Palo Alto Networks

  1. Accédez au périphérique > profils du serveur > RADIUS et définir un serveur RADIUS
    Sri. jpg
  2. Accédez au profil d'Authentification Device > et définissez un profil d'Authentification
    Sri. jpg
  3. Allez dans Device > Admin rôles et définir un rôle Admin. Dans ce cas, un pour un VSys, pas l'appareil large:
    Sri. jpg
  4. Accédez à Device > Access Domain et définissez un domaine D'Accès
    Sri. jpg
  5. Allez sur Device > Setup > Management > paramètres d'Authentification et assurez-vous de sélectionner le profil d'Authentification RADIUS créé ci-dessus
    Sri. jpg
  6. Accédez à Device > administrateurs et validez que l'utilisateur doit être authentifié n'est pas prédéfini sur la boîte.
    Sri. jpg
  7. Validez la configuration

Partie 2: configuration du serveur Windows 2008 1. (Rôle serveur NPS requis)
R6. png

  1. Cliquez sur Démarrer > outils d'Administration > serveur de stratégie réseau et ouvrir les paramètres NPS
    R7. png
  2. Ajouter le périphérique Palo Alto Networks en tant que client RADIUS
    1. Ouvrez la section clients et serveurs RADIUS
    2. Sélectionner les clients RADIUS
    3. Cliquez avec le bouton droit et sélectionnez «Nouveau client RADIUS»
      R8. png
      Remarque: n'ajoutez qu'un nom, une adresse IP et un secret partagé. Laissez le nom du fournisseur sur le paramètre standard, «RADIUS standard».
  3. Après avoir ajouté les clients, la liste devrait ressembler à ceci:
    R9. png
  4. Accédez aux stratégies et sélectionnez stratégies de demande de connexion. Assurez-vous qu'une stratégie d'Authentification des utilisateurs via Windows est configurée/vérifiée.
  5. Validez l'onglet vue d'ensemble et assurez-vous que la stratégie est activée:
    R10. png
  6. Vérifier l'onglet conditions
    R11. png
  7. Cochez l'onglet paramètres où il est défini comment l'utilisateur est authentifié.
    R12. png
  8. Ouvrez la section "stratégies réseau". Cliquez avec le bouton droit sur stratégies réseau et ajoutez une nouvelle stratégie.
    R13. png
  9. Donnez un nom à la police
    R14. png
  10. Accédez à l'onglet conditions et sélectionnez les utilisateurs qui peuvent être authentifiés (désignation du meilleur par groupe):
    R15. png
  11. Accédez à l'onglet contraintes et assurez-vous d'activer "authentification non chiffrée (PAP, SPAP)"
    R16. png
  12. Accédez à l'onglet paramètres et configurez les VSA (attributs spécifiques au fournisseur) à retourner pour mapper l'utilisateur vers le bon rôle d'administrateur et le domaine d'accès.
    1. Sélectionner un fournisseur spécifique sous la section attributs RADIUS
      R17. png
    2. Cliquez sur "ajouter" dans le volet à droite
    3. Sélectionnez "Custom" dans la liste déroulante fournisseur
    4. La seule option laissée dans la liste des attributs est maintenant "spécifique au fournisseur"
      R18. png
    5. Cliquez sur ajouter. La fenêtre informations sur les attributs s'affiche.
    6. Cliquez sur Ajouter sur le côté gauche pour ouvrir la fenêtreR19. png informations sur les attributs spécifiques au fournisseur.
    7. Décrivez The VSA
      1. Sélectionnez "entrer le code fournisseur" et saisissez "25461".
      2. Faire la sélection "Oui. Il se conforme à «, en stipulant que l'attribut est conforme aux spécifications de RFC RADIUS pour les attributs spécifiques aux fournisseurs.
      3. Cliquez sur "configurer l'Attribut..."
      4. Le rôle admin est le numéro d'attribut attribué par le fournisseur "1".
      5. Le format d'Attribut est "String"
      6. La valeur de L'Attribut est le nom du rôle Admin, dans cet exemple, «SE-admin-Access».
        R20. png
      7. Cliquez sur OK.
      8. Cliquez sur Ajouter pour configurer un deuxième attribut (si nécessaire). Le numéro D'Attribut "2" est le domaine D'Accès.
        R21. png
      9. L'utilisateur doit être configuré dans le groupe d'Utilisateurs 5
        Remarque: le groupe peut être utilisé dans une stratégie en tapant/ajoutant manuellement dans la règle appropriée.
      10. Différentes options d'accès/d'autorisation seront disponibles non seulement en utilisant des utilisateurs "connus" (pour un accès général), mais le groupe RADIUS retourna pour plus de ressources/règles "sécurisées".
      11. La liste des attributs doit ressembler à ceci:
        R22. png
    8. Cliquez sur "OK" jusqu'à ce que toutes les options soient sauvegardées.
      R23. png
    9. Facultativement, cliquez avec le bouton droit sur la stratégie existante et sélectionnez une action souhaitée.
      R24. png

Partie 3: valider la configuration

Sur le pare-feu

  1. Essayez un mot de passe incorrect pour voir cette entrée de journal système sur le pare-feu de Palo Alto Networks: moniteur > logs > système
    Sri. jpg
  2. Avec le mot de passe droit, la connexion réussit et répertorie ces entrées de journal:
    Sri. jpg
  3. Vérifiez les droits d'accès:
    Sri. jpg


Du côté NPS

  1. À partir de l'Observateur D'Événements (Démarrer > outils D'Administration > observateur d'Événements), recherchez:
    • Événement de sécurité 6272, "serveur de stratégie réseau a accordé l'accès à un utilisateur."
    • Événement 6278, «le serveur de stratégie de réseau a accordé l'accès complet à un utilisateur parce que l'hôte a rencontré la stratégie de santé définie.»
  2. Sélectionnez le journal de sécurité répertorié dans la section journaux de Windows
  3. Recherchez la catégorie de tâche et l'Entrée «serveur de stratégie de réseau»

Voir aussi

Voir les éléments suivants pour configurer des configurations similaires:

propriétaire: srommens



Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClGMCA0&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language