Atributos específicos del proveedor de RADIUS (VSA)

Resumen

Este documento explica los atributos específicos del proveedor RADIUS que se utilizan con los cortafuegos de nueva generación de Palo Alto Networks y el servidor panorámico. La configuración del dispositivo de redes palo alto y del servidor panorámico son idénticas.

Nota: Palo Alto Networks utiliza el código del proveedor: 25461

Hay 5 atributos:

• PaloAlto-admin-role: Attribute #1-esto puede ser un nombre de función de administrador predeterminado o un nombre de función de administrador personalizado.
• PaloAlto-admin-Access-domain: Attribute #2-esto se utiliza cuando un dispositivo Palo Alto Networks tiene múltiples vsys.  Este es el nombre de un dominio de acceso tal como se creó en el dispositivo > Access Domains.
• PaloAlto-panorama-admin-role: Attribute #3-esto puede ser un nombre de rol admin predeterminado o un nombre de función admin personalizado en panorama.
• PaloAlto-panorama-admin-Access-domain: Attribute #4-este es el nombre de un dominio de acceso configurado en panorama como se ha creado bajo panorama > dominios de acceso.
• PaloAlto-User-Group: Attribute #5-este es el nombre de un grupo que se usará en un perfil de autenticación.

1. Cree un servidor RADIUS, si aún no tiene uno. La recuperación del grupo de usuarios es una función específica de VSA y no es necesaria con configuraciones de RADIUS normales.

   
   
   

2. Crear un perfil de autenticación.  Si desea utilizar el nombre de grupo para filtrar las solicitudes de autenticación RADIUS de los usuarios que no deben tener acceso de inicio de sesión, introduzca el nombre de grupo en los usuarios adicionales en la ventana permitir lista.  El nombre de grupo utilizado en este ejemplo es TestGroup.
   Nota: la configuración de la lista de permitidos es opcional.
   
   
   
3. Configuración de panorama:
   1. Configure un rol de administrador para el acceso a panorama admin.  Esto permite a panorama saber qué permisos están asociados con el acceso de usuario.
   2. Ir a función de dispositivo > admin para crear un rol admin. Esta función otorga los privilegios correctos al usuario que inicia sesión. El rol de administrador utilizado en este ejemplo es un testrole.
   3. Asegúrese de comprobar la opción de grupo de dispositivos y plantillas para permitir sólo el acceso a los dispositivos especificados en el dominio de acceso.
      
      
      
4. Configure el dominio de acceso, que le indica a panorama qué derechos tiene el usuario.
   
   
   
5. Aplique el perfil de autenticación al dispositivo o panorama de Palo Alto Networks.  Ir al dispositivo > configuración > gestión > autenticación perfil en el dispositivo y en panorama > Setup > gestión > autenticación perfil en panorama.

Windows 2003: configuración de los atributos específicos de proveedor de Palo Alto Networks (VSA) a Windows 2003 Server.

Suposición: el cliente RADIUS y la Directiva de acceso remoto ya están configurados.

1. Edite el perfil de acceso remoto existente.

   
   
   

2. Haga clic en editar el botón perfil en el perfil de acceso remoto.

   
   
   

3. Seleccione avanzado y, a continuación, haga clic en Agregar.

   
   
   

4. Desplácese a específico del proveedor y haga clic en Agregar.

   
   
   

5. En la siguiente ventana, haga clic en Agregar para crear los atributos necesarios.

   
   
   

6. En la ventana información de atributo específica del proveedor, seleccione introducir código de proveedor y escriba 25461 en el campo a la derecha (abajo). A continuación, seleccione "sí, se ajusta" y haga clic en "configurar atributo...".

   
   
   

7. En la ventana siguiente, introduzca el número de atributo asignado por el proveedor, desde la primera página de este documento. El formato de atributo debe ser String.  El valor del atributo dependerá de su configuración.

   A continuación se muestra un ejemplo de un rol (testrole) en un dispositivo PAN.

   

    

   Nota: los usuarios de RADIUS sólo pueden tener privilegios de superusuario al devolver "superusuario" como cadena de rol en el VSA.
   > Cambio de VSA a "superusuario" para PaloAlto-admin-rol

    

   A continuación se muestra un ejemplo de un vsys (vsys1) en un dispositivo de redes palo alto.

   

    

   A continuación se muestra un ejemplo de un rol (testrole) en un servidor panorámico.

   

    

   A continuación se muestra un ejemplo de un dominio de acceso (Domain1) en un servidor panorámico.

   

    

   A continuación se muestra un ejemplo de un grupo (TestGroup) que se puede utilizar tanto en un dispositivo Palo Alto Networks como en el servidor panorámico.

   

    

   El ejemplo siguiente muestra la configuración de un rol de administrador personalizado en un dispositivo de redes palo alto (testrole) y Group (TestGroup) que se usará en el perfil de autenticación.  Estos se configuraron en la primera sección de este documento.

   

    

Servidor de políticas de red de Windows 2008: configurar los atributos específicos de proveedor de Palo Alto Networks (VSA) a Windows 2008 Server.

Suposición: el cliente RADIUS y la Directiva de red ya están configurados.

1. Edite la Directiva de red existente haciendo clic con el botón derecho en ella y, a continuación, haciendo clic en propiedades.

   
   
   

2. Haga clic en la configuración; Tab, a continuación, específico del proveedor y, a continuación, haga clic en el botón Agregar.

   
   
   

3. Desplácese hacia abajo en el cuadro atributos y elija específico de proveedor.

   
   
   

4. Haga clic en el botón Agregar.

   
   
   

5. En la ventana información de atributo específica del proveedor, seleccione introducir código de proveedor y, a continuación, ingrese 25461 en el campo a la derecha (como se ve a continuación). A continuación, seleccione "sí, se ajusta" y haga clic en "configurar atributo...".

   
   
   

6. En la siguiente ventana introducirá el número de atributo asignado por el proveedor, desde la primera página de este documento.  El formato de atributo debe ser String.  El valor del atributo dependerá de su configuración.  A continuación se muestran ejemplos de todos los atributos que se pueden configurar para un dispositivo de redes palo alto y un servidor panorámico.

   A continuación se muestra un ejemplo de un rol (testrole) en un dispositivo de redes palo alto.

   

    

   A continuación se muestra un ejemplo de un vsys (vsys1) en un dispositivo de redes palo alto.

   

    

   A continuación se muestra un ejemplo de un rol (testrole) en un servidor panorámico.

   

    

   A continuación se muestra un ejemplo de un dominio de acceso (Domain1) en un servidor panorámico.

   

    

   A continuación se muestra un ejemplo de un grupo (TestGroup) que se puede utilizar tanto en un dispositivo Palo Alto Networks como en el servidor panorámico.

   

    

   En el ejemplo siguiente, hemos configurado un rol de administrador personalizado en un dispositivo Palo Alto Networks (testrole) y Group (TestGroup) que se usará en el perfil de autenticación.  Estos se configuraron en la primera sección de este documento.

   

    

Cisco ACS

A continuación, configure VSA en Cisco ACS 4,0 Server.

SuPosición: RADIUS está configurado y trabajando con el servidor panorámico.

1. Cree un archivo denominado palalto. ini en la carpeta utils del servidor ACS de Cisco.

   

    

   A continuación se muestra un ejemplo de lo que debe incluir este archivo ini.

   
   
   

2. Guarde el archivo ini, incluyalo en el servidor ACS ejecutando el comando CSUtil. exe que se encuentra en la carpeta bin del servidor ACS.

   Ejemplo: CSUtil. exe – addUDV 0 C:\Archivos de Files\CiscoSecure ACS v 4.0 \ Utils\paloalto.ini

   
   
   

3. En el servidor ACS, seleccione la página de configuración de la interfaz y haga clic en "RADIUS (PaloAlto)".

   
   
   

4. Elija los atributos que desea utilizar.  Hemos seleccionado todos ellos en el ejemplo de abajo. Haga clic en enviar.

   
   
   

5. Edite los atributos en el Grupo ACS.  Hemos creado un grupo llamado TestGroup.

   
   
   

6. Una vez en el grupo, puede saltar a la sección "RADIUS (PaloAlto)", como se ve a continuación.

   
   
   

7. Configure las opciones que desea utilizar. En el ejemplo siguiente, he configurado un rol de administrador personalizado en un servidor panorámico (testrole) y grupo (TestGroup) que se usará en el perfil de autenticación.  Estos se configuraron en la primera sección de este documento.

   

Ver también

Configuración de Cisco ACS 5,2 para su uso con atributos específicos de proveedor de palo alto

Propietario: rnit