RADIUS HerstellerSpezifische Attribute (VSA)

Übersicht

Dieses Dokument erklärt die RADIUS-Hersteller-spezifischen Attribute (VSA), die mit den Palo Alto Networks der nächsten GeneRation Firewalls und Panorama-Server verwendet werden. Die Konfiguration auf dem Palo Alto Networks-Gerät und dem Panorama-Server ist identisch.

Hinweis: Palo Alto Networks verwendet den Vendor Code: 25461

Es gibt 5 Attribute:

• PaloAlto-admin-Rolle: Attribut #1-dies kann entweder ein Standard-admin-Role-Name oder ein benutzerdefinierten admin-Rollennamen sein.
• PaloAlto-Admin-Access-Domain: Attribut #2-dies wird verwendet, wenn ein Palo Alto Networks-Gerät mehrere Vsys hat.  Dies ist der Name einer Zugriffs Domäne, wie Sie unter Device > Access-Domains erstellt wurde.
• PaloAlto-Panorama-admin-Rolle: Attribut #3-dies kann entweder ein Standard-admin-Role-Name oder ein Benutzername für admin-Rolle auf Panorama sein.
• PaloAlto-Panorama-Admin-Access-Domain: Attribut #4-das ist der Name einer auf Panorama konfigurierten Zugriffs Domäne, wie Sie unter Panorama > Access-Domains erstellt wurde.
• PaloAlto-User-Gruppe: Attribut #5-dies ist der Name einer Gruppe, die in einem Authentifizierungs Profil verwendet werden soll.

1. Erstellen Sie einen RADIUS-Server, wenn Sie nicht bereits einen haben. Das Abrufen der Benutzergruppe ist ein VSA-spezifisches Feature und bei normalen RADIUS-Konfigurationen nicht notwendig.

   
   
   

2. Erstellen Sie ein Authentifizierungs Profil.  Wenn Sie den Gruppennamen verwenden möchten, um RADIUS-Authentifizierungs Anfragen für Benutzer herauszufiltern, die keinen Login-Zugriff haben sollten, geben Sie den Gruppennamen in die zusätzlichen Benutzer im Fenster "Allow List" ein.  Der Gruppenname, der in diesem Beispiel verwendet wird, ist Test Group.
   Hinweis: die Konfiguration der Allow-Liste ist optional.
   
   
   
3. Panorama-Einstellungen:
   1. Konfigurieren Sie eine admin-Rolle für den Panorama-Admin-Zugang.  So kann Panorama wissen, welche Berechtigungen mit dem Zugriff des Benutzers verbunden sind.
   2. Gehen Sie zur Device > Admin-Rolle, um eine admin-Rolle zu erstellen. Diese Rolle gewährt dem Benutzer die richtigen Privilegien. Die admin-Rolle, die in diesem Beispiel verwendet wird, ist eine Testrolle.
   3. Achten Sie darauf, die Option für GeräteGruppe und Vorlagen zu überprüfen, um nur den Zugriff auf die angegebenen Geräte in der Zugriffs Domäne zu ermöglichen.
      
      
      
4. Konfigurieren Sie die Zugriffs Domäne, die Panorama angibt, welche Rechte der Benutzer hat.
   
   
   
5. Verwenden Sie das Authentifizierungs Profil auf das Palo Alto Networks Gerät oder Panorama.  Gehen Sie zum Gerät > Setup > Management > Authentifizierungs Profil auf dem Gerät und bei Panorama > Setup > Management > Authentifizierungs Profil auf Panorama.

Windows 2003: Konfiguration von Palo Alto Networks HerstellerSpezifische Attribute (VSA) auf Windows 2003 Server.

Annahme: die RADIUS-Client-und Remote-Access-RichtLinien sind bereits konfiguriert.

1. Bearbeiten Sie das vorhandene Remote-Access-Profil.

   
   
   

2. Klicken Sie auf Profil-Taste auf dem Remote-Access-Profil.

   
   
   

3. Wählen Sie Advanced aus, dann klicken Sie auf das Add.

   
   
   

4. Scrollen Sie zu Vendor-spezifisch und klicken Sie auf HinzuFügen.

   
   
   

5. Klicken Sie im nächsten Fenster auf HinzuFügen, um die notwendigen Attribute zu erstellen.

   
   
   

6. Im HerstellerSpezifischen Attribut-Informationsfenster geben Sie den Vendor-Code ein und geben 25461 im Feld rechts ein (unten). Als nächstes wählen Sie "Ja, es entspricht", dann klicken Sie auf "Attribut konfigurieren"....

   
   
   

7. Geben Sie im nächsten Fenster die vom Hersteller zugewiesene Attribut Nummer von der ersten Seite dieses Dokuments ein. Das Attribut-Format sollte String sein.  Der Attribut-Wert wird von Ihrer Konfiguration abhängen.

   Unten ist ein Beispiel für eine Rolle (Testrolle) auf einem PAN-Gerät.

   

    

   Hinweis: RADIUS-Benutzer können nur Superuser-Privilegien haben, indem Sie "Superuser" als Rollen String in der VSA zurückgeben.
   > VSA auf "Superuser" für PaloAlto-admin-Rolle ändern

    

   Unten ist ein Beispiel für einen Vsys (vsys1) auf einem Palo Alto Networks Gerät.

   

    

   Unten ist ein Beispiel für eine Rolle (Testrolle) auf einem Panorama-Server.

   

    

   Im folgenden finden Sie ein Beispiel für eine Zugriffs Domäne (domain1) auf einem Panorama-Server.

   

    

   Im folgenden finden Sie ein Beispiel für eine Gruppe (Testgruppe), die sowohl auf einem Palo Alto Networks-Gerät als auch auf einem Panorama-Server verwendet werden kann.

   

    

   Das folgende Beispiel zeigt die Konfiguration einer BenutzerDefinierten admin-Rolle auf einem Palo Alto Networks-Gerät (Testrolle) und einer Gruppe (Testgruppe), die im Authentifizierungs Profil verwendet werden soll.  Diese wurden im ersten Abschnitt dieses Dokuments konfiguriert.

   

    

Windows 2008 Network Policy Server: Konfiguration von Palo Alto Networks HerstellerSpezifische Attribute (VSA) auf Windows 2008 Server.

Annahme: die RADIUS-Client-und Netzwerk-RichtLinien sind bereits konfiguriert.

1. Bearbeiten Sie die bestehende Netzwerk Richtlinie, indem Sie mit der rechten Maustaste darauf klicken und dann auf Eigenschaften klicken.

   
   
   

2. Klicken Sie auf die Einstellungen; Tab, dann Vendor-spezifisch, dann klicken Sie auf die Schaltfläche HinzuFügen.

   
   
   

3. Scrollen Sie in der Attribute-Box und wählen Sie Hersteller spezifisch.

   
   
   

4. Klicken Sie auf die Schaltfläche "hinzufügen".

   
   
   

5. Im HerstellerSpezifischen Attribut-Informationsfenster wählen Sie den Vendor-Code aus, dann geben Sie 25461 im Feld rechts ein (wie unten gesehen). Als nächstes wählen Sie "Ja, es entspricht", dann klicken Sie auf "Attribut konfigurieren"....

   
   
   

6. Im nächsten Fenster geben Sie die vom Hersteller zugewiesene Attribut Nummer von der ersten Seite dieses Dokuments ein.  Das Attribut-Format sollte String sein.  Der Attribut-Wert wird von Ihrer Konfiguration abhängen.  Im folgenden sind Beispiele für alle Attribute aufgelistet, die für ein Palo Alto Networks-Gerät und einen Panorama-Server konfiguriert werden können.

   Unten ist ein Beispiel für eine Rolle (Testrolle) auf einem Palo Alto Networks Gerät.

   

    

   Unten ist ein Beispiel für einen Vsys (vsys1) auf einem Palo Alto Networks Gerät.

   

    

   Unten ist ein Beispiel für eine Rolle (Testrolle) auf einem Panorama-Server.

   

    

   Im folgenden finden Sie ein Beispiel für eine Zugriffs Domäne (domain1) auf einem Panorama-Server.

   

    

   Im folgenden finden Sie ein Beispiel für eine Gruppe (Testgruppe), die sowohl auf einem Palo Alto Networks-Gerät als auch auf einem Panorama-Server verwendet werden kann.

   

    

   Im folgenden Beispiel haben wir eine BenutzerDefinierte admin-Rolle auf einem Palo Alto Networks-Gerät (Testrolle) und einer Gruppe (Testgruppe) konfiguriert, die im Authentifizierungs Profil verwendet werden soll.  Diese wurden im ersten Abschnitt dieses Dokuments konfiguriert.

   

    

Cisco ACS

Als nächstes die Konfiguration von VSA auf Cisco ACS 4,0 Server.

Annahme: RADIUS wird konfiguriert und arbeitet mit dem Panorama-Server.

1. Erstellen Sie eine Datei mit dem Namen palalto. ini im utils-Ordner des Cisco ACS-Servers.

   

    

   Im folgenden finden Sie ein Beispiel dafür, was diese INI-Datei enthalten sollte.

   
   
   

2. Speichern Sie die INI-Datei, fügen Sie Sie in den ACS-Server ein, indem Sie den CSUtil. exe-Befehl ausführen, der sich im bin-Ordner des ACS-Servers befindet.

   Beispiel: CSUtil. exe – addUDV 0 C:\Program Files\CiscoSecure ACS v 4.0 \ Utils\paloalto.ini

   
   
   

3. Innerhalb des ACS-Servers wählen Sie die Interface-Konfigurationsseite, dann klicken Sie auf "RADIUS (PaloAlto)".

   
   
   

4. Wählen Sie die Attribute, die Sie verwenden möchten.  Wir haben alle im folgenden Beispiel ausgewählt. Klicken Sie auf Absenden.

   
   
   

5. Bearbeiten Sie die Attribute der ACS-Gruppe.  Wir haben eine Gruppe namens Test Group gegründet.

   
   
   

6. Sobald Sie in der Gruppe sind, können Sie in den Abschnitt "RADIUS (PaloAlto)" springen, wie unten zu sehen.

   
   
   

7. Konfigurieren Sie die Optionen, die Sie verwenden möchten. Im folgenden Beispiel habe ich eine BenutzerDefinierte admin-Rolle auf einem Panorama-Server (Testrolle) und einer Gruppe (Testgruppe) konfiguriert, die im Authentifizierungs Profil verwendet werden soll.  Diese wurden im ersten Abschnitt dieses Dokuments konfiguriert.

   

Siehe auch

Konfiguration von Cisco ACS 5,2 für den Einsatz mit Palo Alto Vendor spezifischen Attributen

Besitzer: rnit