Windows 2008 RADIUS サーバー (NPS/IAS) と管理者認証を構成します。

概要

このドキュメントでは、Windows 2008 RADIUS サーバーを使用して管理者認証を構成する手順について説明します。

この構成の前提条件は次のとおりです。

• デバイスの管理インターフェイスまたはサービスルートから RADIUS サーバーへの L3 接続。
• ドメインアカウントを検証できる Windows 2008 サーバー。

手順

パート 1: パロアルトネットワークファイアウォールの設定

1. [デバイス] > [サーバープロファイル] > [radius] に移動し、radius サーバーを定義します。
   
2. [デバイス] > [認証プロファイル] に移動し、認証プロファイルを定義します。
   
3. [デバイス] > [管理者ロール] に移動し、管理者ロールを定義します。この場合1つは vsys のために、ない装置広い:
   
4. デバイスに移動 > ドメインにアクセスし、アクセスドメインを定義する
   
5. [デバイス] > [セットアップ] > [管理] > [認証設定] に移動し、上記で作成した RADIUS 認証プロファイルを必ず選択してください。
   
6. [デバイス] > [管理者] に移動し、認証が必要なユーザーがボックスに事前定義されていないことを確認します。
   
7. 構成を確定します。

パート 2: Windows 2008 サーバー1を構成します。(NPS サーバーの役割が必要です)

1. [スタート] > [管理ツール] > [ネットワークポリシーサーバー] をクリックし、[NPS 設定] を開きます
   
2. RADIUS クライアントとしてパロアルトネットワークデバイスを追加します。
   1. [RADIUS クライアントとサーバー] セクションを開きます。
   2. RADIUS クライアントの選択
   3. 右クリックし、[新しい RADIUS クライアント] を選択し
      
      ます。注: 名前、IP アドレス、および共有シークレットのみを追加します。ベンダー名は、標準設定の "RADIUS 標準" のままにしておきます。
3. クライアントを追加した後、リストは次のようになります。
   
4. [ポリシー] に移動し、[接続要求ポリシー] を選択します。Windows 経由でユーザーを認証するためのポリシーが構成またはチェックされていることを確認します。
5. [概要] タブを検証し、ポリシーが有効になっていることを確認します。
   
6. [条件] タブを確認する
   
7. [設定] タブで、ユーザーの認証方法が定義されていることを確認します。
   
8. [ネットワークポリシー] セクションを開きます。[ネットワークポリシー] を右クリックし、新しいポリシーを追加します。
   
9. ポリシーに名前を付ける
   
10. [条件] タブに移動し、認証できるユーザーを選択します (グループ指定によって最適)。
    
11. 「制約」タブに移動し、「暗号化されていない認証 (PAP、SPAP)」を有効にしてください。
    
12. [設定] タブに移動し、ユーザーを適切な管理者の役割とアクセスドメインにマップするために返される VSAs (ベンダ固有の属性) を構成します。
    1. [RADIUS 属性] セクションの [ベンダ固有] を選択します
       
    2. 右側のペインにある [追加] をクリックします。
    3. [ベンダ] ドロップダウンリストから [カスタム] を選択します。
    4. 属性リストに残っている唯一のオプションは、"ベンダ固有" です
       
    5. [追加] をクリックします。[属性情報] ウィンドウが表示されます。
    6. 左側の [追加] をクリックして、ベンダ固有の属性情報ウィンドウ を表示します
    7. VSAs の定義
       1. 「仕入先コードを入力」を選択し、「25461」と入力します。
       2. 「はい」を選択します。定めは、属性がベンダ固有の属性の RADIUS RFC 仕様に準拠していることを示す。
       3. [属性の構成] をクリックします。
       4. 管理者ロールは、ベンダが割り当てた属性番号 "1" です。
       5. 属性の形式は "String" です。
       6. 属性値は管理者ロール名で、この例では "SE-admin-アクセス" です。
          
       7. [OK] をクリックします。
       8. [追加] をクリックして、2番目の属性を構成します (必要な場合)。属性番号 "2" はアクセスドメインです。
          
       9. ユーザーはユーザーグループ5で構成する必要があります
          注:グループは、適切なルールで手動で入力/追加することによって、ポリシーで使用できます。
       10. "既知の" ユーザー (一般的なアクセス) を使用するだけでなく、より多くの "セキュリティで保護された" リソース/ルールのために RADIUS が返されるグループによって、異なるアクセス/承認オプションが利用できるようになります。
       11. 属性の一覧は次のようになります。
           
    8. すべてのオプションが保存されるまで [OK] をクリックします。
       
    9. 必要に応じて、既存のポリシーを右クリックし、目的のアクションを選択します。
       

パート 3: セットアップを検証する

ファイアウォールで

1. 間違ったパスワードを試して、パロ・アルト・ネットワーク・ファイアウォールでこのシステム・ログ・エントリーを見て下さい: モニター > ログ > システム
   
2. 正しいパスワードを使用すると、ログインが成功し、次のログエントリが一覧表示されます。
   
3. アクセス権を確認します。
   

NPS 側で

1. イベントビューア ([スタート] > [管理ツール] > [イベントビューア]) から、次のように検索します。
   • セキュリティイベント6272「ネットワークポリシーサーバーはユーザーへのアクセスを許可しました。
   • イベント 6278 "ネットワークポリシーサーバーは、ホストが定義済みの正常性ポリシーを満たしているため、ユーザーへのフルアクセスを許可しました。
2. [Windows ログ] セクションに一覧表示されているセキュリティログを選択します
3. タスクカテゴリとエントリ "ネットワークポリシーサーバー" を探します

また見なさい

同様のセットアップを構成するには、次を参照してください。

• Cisco ACS-PaloAltoVSA の RADIUS VSA ディクショナリファイル
• RADIUS 辞書ファイル

所有者: srommens