配置管理员身份验证与 Windows 2008 RADIUS 服务器 (NPS/IAS)
82990
Created On 09/25/18 17:30 PM - Last Modified 06/01/23 03:29 AM
Resolution
概述
本文档介绍使用 Windows 2008 RADIUS 服务器配置管理员身份验证的步骤。
此配置的先决条件是:
- L3 从设备的管理接口或服务路由到 RADIUS 服务器的连接。
- 可以验证域帐户的 Windows 2008 服务器。
步骤
1部分: 配置帕洛阿尔托网络防火墙
- 转到设备 > 服务器配置文件 > 半径并定义 radius 服务器
- 转到设备 > 身份验证配置文件并定义身份验证配置文件
- 转到设备 > 管理角色并定义管理员角色。在这种情况下一个为 vsys, 不是设备宽:
- 转到设备 > 访问域并定义访问域
- 转到设备 >> 安装程序 > 管理 > 身份验证设置并确保选择上面创建的 RADIUS 身份验证配置文件
- 转到设备 > 管理员, 并验证是否在该框上预先定义了需要验证的用户。
- 提交配置
2部分: 配置 Windows 2008 服务器1。(需要 NPS 服务器角色)
- 单击启动 > 管理工具 > 网络策略服务器和打开 NPS 设置
- 将帕洛阿尔托网络设备添加为 RADIUS 客户端
- 打开 "RADIUS 客户端和服务器" 部分
- 选择 RADIUS 客户端
- 右键单击并选择 "新建 RADIUS 客户端"
注:只添加名称、IP 和共享机密. 将供应商名称保留在标准设置 "半径标准" 中。
- 添加客户端后, 列表应如下所列:
- 转到策略并选择连接请求策略。请确保配置/检查了通过 Windows 验证用户的策略。
- 验证 "概览" 选项卡并确保该策略已启用:
- 验证条件选项卡
- 选中 "设置" 选项卡, 定义用户的身份验证方式。
- 打开 "网络策略" 部分。右键单击网络策略并添加新策略。
- 给策略一个名称
- 转到 "条件" 选项卡, 然后选择可以通过身份验证的用户 (按组指定最佳):
- 转到 "约束" 选项卡, 确保启用 "未加密的身份验证 (PAP、SPAP)"
- 转到 "设置" 选项卡并配置要返回的 VSAs (供应商特定属性) 以将用户映射到正确的管理角色和访问域)
- 在 "RADIUS 属性" 部分中选择特定供应商
- 单击右侧窗格中的 "添加"
- 从供应商下拉列表中选择 "自定义"
- 现在, 属性列表中唯一剩下的选项是 "特定于供应商"
- 单击 "添加"。将显示 "属性信息" 窗口。
- 单击左侧的 "添加" 以弹出供应商特定的属性信息窗口
- 定义 VSAs
- 选择 "输入供应商代码" 并输入 "25461"。
- 做出选择 "是"。它符合 ", 规定该属性符合供应商特定属性的 RADIUS RFC 规范。
- 单击 "配置属性..."
- 管理员角色是供应商分配的属性编号 "1"。
- 属性格式为 "字符串"
- 属性值是管理员角色名, 在此示例中为 "SE 管理-访问"。
- 单击"确定".
- 单击 "添加" 以配置第二个属性 (如果需要)。属性编号 "2" 是访问域。
- 需要在用户组5注意事项中配置用户
:该组可以在策略中使用, 方法是在适当的规则中手动键入/添加它. - 不同的访问/授权选项不仅可以使用 "已知" 用户 (用于一般访问), 而且还可用于更 "安全" 资源/规则的 RADIUS 返回组。
- 属性列表应如下所列:
- 单击 "确定" 直到保存所有选项。
- 或者, 右键单击现有策略并选择所需的操作。
- 在 "RADIUS 属性" 部分中选择特定供应商
3部分: 验证安装程序
在防火墙上
- 尝试错误的密码以查看帕洛阿尔托网络防火墙上的系统日志项: 监视器 > 日志 > 系统
- 使用正确的密码, 登录成功并列出这些日志项:
- 检查访问权限:
在 NPS 端
- 从事件查看器 (启动 > 管理工具 > 事件查看器), 查找:
- 安全事件 6272, "网络策略服务器授予用户访问权限"。
- 事件 6278, "网络策略服务器授予用户完全访问权限, 因为主机满足了定义的健康策略"。
- 选择 "Windows 日志" 部分中列出的安全日志
- 查找任务类别和条目 "网络策略服务器"
请参见
有关配置类似设置, 请参见以下内容:
所有者: srommens