Configuration de l’authentification de l’administrateur avec Windows 2008 serveur RADIUS (NPS/IAS)
94213
Created On 09/25/18 17:30 PM - Last Modified 06/01/23 03:29 AM
Resolution
Vue d’ensemble
Ce document décrit les étapes à suivre pour configurer l'authentification admin avec un serveur RADIUS Windows 2008.
Les conditions requises pour cette configuration sont:
- L3 connectivité de l'interface de gestion ou de la route de service du périphérique vers le serveur RADIUS.
- UN serveur Windows 2008 qui peut valider des comptes de domaine.
Étapes
Partie 1: configuration du pare-feu de Palo Alto Networks
- Accédez au périphérique > profils du serveur > RADIUS et définir un serveur RADIUS
- Accédez au profil d'Authentification Device > et définissez un profil d'Authentification
- Allez dans Device > Admin rôles et définir un rôle Admin. Dans ce cas, un pour un VSys, pas l'appareil large:
- Accédez à Device > Access Domain et définissez un domaine D'Accès
- Allez sur Device > Setup > Management > paramètres d'Authentification et assurez-vous de sélectionner le profil d'Authentification RADIUS créé ci-dessus
- Accédez à Device > administrateurs et validez que l'utilisateur doit être authentifié n'est pas prédéfini sur la boîte.
- Validez la configuration
Partie 2: configuration du serveur Windows 2008 1. (Rôle serveur NPS requis)
- Cliquez sur Démarrer > outils d'Administration > serveur de stratégie réseau et ouvrir les paramètres NPS
- Ajouter le périphérique Palo Alto Networks en tant que client RADIUS
- Ouvrez la section clients et serveurs RADIUS
- Sélectionner les clients RADIUS
- Cliquez avec le bouton droit et sélectionnez «Nouveau client RADIUS»
Remarque: n'ajoutez qu'un nom, une adresse IP et un secret partagé. Laissez le nom du fournisseur sur le paramètre standard, «RADIUS standard».
- Après avoir ajouté les clients, la liste devrait ressembler à ceci:
- Accédez aux stratégies et sélectionnez stratégies de demande de connexion. Assurez-vous qu'une stratégie d'Authentification des utilisateurs via Windows est configurée/vérifiée.
- Validez l'onglet vue d'ensemble et assurez-vous que la stratégie est activée:
- Vérifier l'onglet conditions
- Cochez l'onglet paramètres où il est défini comment l'utilisateur est authentifié.
- Ouvrez la section "stratégies réseau". Cliquez avec le bouton droit sur stratégies réseau et ajoutez une nouvelle stratégie.
- Donnez un nom à la police
- Accédez à l'onglet conditions et sélectionnez les utilisateurs qui peuvent être authentifiés (désignation du meilleur par groupe):
- Accédez à l'onglet contraintes et assurez-vous d'activer "authentification non chiffrée (PAP, SPAP)"
- Accédez à l'onglet paramètres et configurez les VSA (attributs spécifiques au fournisseur) à retourner pour mapper l'utilisateur vers le bon rôle d'administrateur et le domaine d'accès.
- Sélectionner un fournisseur spécifique sous la section attributs RADIUS
- Cliquez sur "ajouter" dans le volet à droite
- Sélectionnez "Custom" dans la liste déroulante fournisseur
- La seule option laissée dans la liste des attributs est maintenant "spécifique au fournisseur"
- Cliquez sur ajouter. La fenêtre informations sur les attributs s'affiche.
- Cliquez sur Ajouter sur le côté gauche pour ouvrir la fenêtre informations sur les attributs spécifiques au fournisseur.
- Décrivez The VSA
- Sélectionnez "entrer le code fournisseur" et saisissez "25461".
- Faire la sélection "Oui. Il se conforme à «, en stipulant que l'attribut est conforme aux spécifications de RFC RADIUS pour les attributs spécifiques aux fournisseurs.
- Cliquez sur "configurer l'Attribut..."
- Le rôle admin est le numéro d'attribut attribué par le fournisseur "1".
- Le format d'Attribut est "String"
- La valeur de L'Attribut est le nom du rôle Admin, dans cet exemple, «SE-admin-Access».
- Cliquez sur OK.
- Cliquez sur Ajouter pour configurer un deuxième attribut (si nécessaire). Le numéro D'Attribut "2" est le domaine D'Accès.
- L'utilisateur doit être configuré dans le groupe d'Utilisateurs 5
Remarque: le groupe peut être utilisé dans une stratégie en tapant/ajoutant manuellement dans la règle appropriée. - Différentes options d'accès/d'autorisation seront disponibles non seulement en utilisant des utilisateurs "connus" (pour un accès général), mais le groupe RADIUS retourna pour plus de ressources/règles "sécurisées".
- La liste des attributs doit ressembler à ceci:
- Cliquez sur "OK" jusqu'à ce que toutes les options soient sauvegardées.
- Facultativement, cliquez avec le bouton droit sur la stratégie existante et sélectionnez une action souhaitée.
- Sélectionner un fournisseur spécifique sous la section attributs RADIUS
Partie 3: valider la configuration
Sur le pare-feu
- Essayez un mot de passe incorrect pour voir cette entrée de journal système sur le pare-feu de Palo Alto Networks: moniteur > logs > système
- Avec le mot de passe droit, la connexion réussit et répertorie ces entrées de journal:
- Vérifiez les droits d'accès:
Du côté NPS
- À partir de l'Observateur D'Événements (Démarrer > outils D'Administration > observateur d'Événements), recherchez:
- Événement de sécurité 6272, "serveur de stratégie réseau a accordé l'accès à un utilisateur."
- Événement 6278, «le serveur de stratégie de réseau a accordé l'accès complet à un utilisateur parce que l'hôte a rencontré la stratégie de santé définie.»
- Sélectionnez le journal de sécurité répertorié dans la section journaux de Windows
- Recherchez la catégorie de tâche et l'Entrée «serveur de stratégie de réseau»
Voir aussi
Voir les éléments suivants pour configurer des configurations similaires:
propriétaire: srommens