Configuration de l’authentification de l’administrateur avec Windows 2008 serveur RADIUS (NPS/IAS)

Vue d’ensemble

Ce document décrit les étapes à suivre pour configurer l'authentification admin avec un serveur RADIUS Windows 2008.

Les conditions requises pour cette configuration sont:

• L3 connectivité de l'interface de gestion ou de la route de service du périphérique vers le serveur RADIUS.
• UN serveur Windows 2008 qui peut valider des comptes de domaine.

Étapes

Partie 1: configuration du pare-feu de Palo Alto Networks

1. Accédez au périphérique > profils du serveur > RADIUS et définir un serveur RADIUS
   
2. Accédez au profil d'Authentification Device > et définissez un profil d'Authentification
   
3. Allez dans Device > Admin rôles et définir un rôle Admin. Dans ce cas, un pour un VSys, pas l'appareil large:
   
4. Accédez à Device > Access Domain et définissez un domaine D'Accès
   
5. Allez sur Device > Setup > Management > paramètres d'Authentification et assurez-vous de sélectionner le profil d'Authentification RADIUS créé ci-dessus
   
6. Accédez à Device > administrateurs et validez que l'utilisateur doit être authentifié n'est pas prédéfini sur la boîte.
   
7. Validez la configuration

Partie 2: configuration du serveur Windows 2008 1. (Rôle serveur NPS requis)

1. Cliquez sur Démarrer > outils d'Administration > serveur de stratégie réseau et ouvrir les paramètres NPS
   
2. Ajouter le périphérique Palo Alto Networks en tant que client RADIUS
   1. Ouvrez la section clients et serveurs RADIUS
   2. Sélectionner les clients RADIUS
   3. Cliquez avec le bouton droit et sélectionnez «Nouveau client RADIUS»
      
      Remarque: n'ajoutez qu'un nom, une adresse IP et un secret partagé. Laissez le nom du fournisseur sur le paramètre standard, «RADIUS standard».
3. Après avoir ajouté les clients, la liste devrait ressembler à ceci:
   
4. Accédez aux stratégies et sélectionnez stratégies de demande de connexion. Assurez-vous qu'une stratégie d'Authentification des utilisateurs via Windows est configurée/vérifiée.
5. Validez l'onglet vue d'ensemble et assurez-vous que la stratégie est activée:
   
6. Vérifier l'onglet conditions
   
7. Cochez l'onglet paramètres où il est défini comment l'utilisateur est authentifié.
   
8. Ouvrez la section "stratégies réseau". Cliquez avec le bouton droit sur stratégies réseau et ajoutez une nouvelle stratégie.
   
9. Donnez un nom à la police
   
10. Accédez à l'onglet conditions et sélectionnez les utilisateurs qui peuvent être authentifiés (désignation du meilleur par groupe):
    
11. Accédez à l'onglet contraintes et assurez-vous d'activer "authentification non chiffrée (PAP, SPAP)"
    
12. Accédez à l'onglet paramètres et configurez les VSA (attributs spécifiques au fournisseur) à retourner pour mapper l'utilisateur vers le bon rôle d'administrateur et le domaine d'accès.
    1. Sélectionner un fournisseur spécifique sous la section attributs RADIUS
       
    2. Cliquez sur "ajouter" dans le volet à droite
    3. Sélectionnez "Custom" dans la liste déroulante fournisseur
    4. La seule option laissée dans la liste des attributs est maintenant "spécifique au fournisseur"
       
    5. Cliquez sur ajouter. La fenêtre informations sur les attributs s'affiche.
    6. Cliquez sur Ajouter sur le côté gauche pour ouvrir la fenêtre informations sur les attributs spécifiques au fournisseur.
    7. Décrivez The VSA
       1. Sélectionnez "entrer le code fournisseur" et saisissez "25461".
       2. Faire la sélection "Oui. Il se conforme à «, en stipulant que l'attribut est conforme aux spécifications de RFC RADIUS pour les attributs spécifiques aux fournisseurs.
       3. Cliquez sur "configurer l'Attribut..."
       4. Le rôle admin est le numéro d'attribut attribué par le fournisseur "1".
       5. Le format d'Attribut est "String"
       6. La valeur de L'Attribut est le nom du rôle Admin, dans cet exemple, «SE-admin-Access».
          
       7. Cliquez sur OK.
       8. Cliquez sur Ajouter pour configurer un deuxième attribut (si nécessaire). Le numéro D'Attribut "2" est le domaine D'Accès.
          
       9. L'utilisateur doit être configuré dans le groupe d'Utilisateurs 5
          Remarque: le groupe peut être utilisé dans une stratégie en tapant/ajoutant manuellement dans la règle appropriée.
       10. Différentes options d'accès/d'autorisation seront disponibles non seulement en utilisant des utilisateurs "connus" (pour un accès général), mais le groupe RADIUS retourna pour plus de ressources/règles "sécurisées".
       11. La liste des attributs doit ressembler à ceci:
           
    8. Cliquez sur "OK" jusqu'à ce que toutes les options soient sauvegardées.
       
    9. Facultativement, cliquez avec le bouton droit sur la stratégie existante et sélectionnez une action souhaitée.
       

Partie 3: valider la configuration

Sur le pare-feu

1. Essayez un mot de passe incorrect pour voir cette entrée de journal système sur le pare-feu de Palo Alto Networks: moniteur > logs > système
   
2. Avec le mot de passe droit, la connexion réussit et répertorie ces entrées de journal:
   
3. Vérifiez les droits d'accès:
   

Du côté NPS

1. À partir de l'Observateur D'Événements (Démarrer > outils D'Administration > observateur d'Événements), recherchez:
   • Événement de sécurité 6272, "serveur de stratégie réseau a accordé l'accès à un utilisateur."
   • Événement 6278, «le serveur de stratégie de réseau a accordé l'accès complet à un utilisateur parce que l'hôte a rencontré la stratégie de santé définie.»
2. Sélectionnez le journal de sécurité répertorié dans la section journaux de Windows
3. Recherchez la catégorie de tâche et l'Entrée «serveur de stratégie de réseau»

Voir aussi

Voir les éléments suivants pour configurer des configurations similaires:

• RADIUS VSA fichier de dictionnaire pour Cisco ACS-PaloAltoVSA. ini
• Fichier de dictionnaire RADIUS

propriétaire: srommens