Attributs spécifiques au fournisseur RADIUS (VSA)

Vue d’ensemble

Ce document explique les attributs spécifiques au fournisseur RADIUS (VSA) utilisés avec les pare-feu de la prochaine génération de Palo Alto Networks et le serveur panorama. La configuration sur l'appareil de Palo Alto Networks et le serveur panorama sont identiques.

Note: Palo Alto Networks utilise le code du vendeur: 25461

Il y a 5 attributs:

• PaloAlto-admin-Role: attribute #1-il peut s'agir d'un nom de rôle admin par défaut ou d'un nom de rôle admin personnalisé.
• PaloAlto-admin-Access-Domain: attribute #2-ceci est utilisé quand un appareil de Palo Alto Networks a plusieurs VSys.  Il s'agit du nom d'un domaine d'Accès tel que créé sous Device > Access domaines.
• PaloAlto-panorama-admin-Role: attribute #3-il peut s'agir d'un nom de rôle admin par défaut ou d'un nom de rôle admin personnalisé sur panorama.
• PaloAlto-panorama-admin-Access-Domain: attribute #4-il s'agit du nom d'un domaine d'accès configuré sur panorama tel qu'il a été créé sous panorama > Access Domains.
• PaloAlto-User-Group: attribute #5-il s'agit du nom d'un groupe à utiliser dans un profil d'Authentification.

1. Créez un serveur RADIUS, si vous n'en possédez pas déjà un. La récupération du groupe d'utilisateurs est une fonctionnalité spécifique à VSA et n'est pas nécessaire avec les configurations RADIUS normales.

   
   
   

2. Créez un profil d'Authentification.  Si vous souhaitez utiliser le nom du groupe pour filtrer les demandes d'Authentification RADIUS pour les utilisateurs qui ne doivent pas avoir accès à la connexion, entrez le nom du groupe dans les utilisateurs supplémentaires dans la fenêtre Liste autorisée.  Le nom de groupe utilisé dans cet exemple est TestGroup.
   Remarque: la configuration de la liste autorisée est facultative.
   
   
   
3. Paramètres Panorama:
   1. Configurer un rôle admin pour l'accès administrateur panorama.  Cela permet à Panorama de savoir quelles autorisations sont associées à l'accès de l'utilisateur.
   2. Aller à Device > Admin rôle pour créer un rôle Admin. Ce rôle accorde les privilèges corrects à l'utilisateur se connectant. Le rôle admin utilisé dans cet exemple est un RôleTest.
   3. Assurez-vous de vérifier l'option pour le groupe de périphériques et les modèles pour autoriser uniquement l'accès aux périphériques spécifiés dans le domaine d'accès.
      
      
      
4. Configurez le domaine d'accès, qui indique à Panorama quels droits l'utilisateur possède.
   
   
   
5. Appliquez le profil d'Authentification à l'appareil ou Panorama de Palo Alto Networks.  Allez sur Device > Setup > Management > Profil d'Authentification sur l'appareil et à Panorama > Setup > gestion > profil d'Authentification sur panorama.

Windows 2003: configuration des attributs spécifiques du fournisseur de Palo Alto Networks (VSA) vers Windows 2003 Server.

Hypothèse: le client RADIUS et la stratégie d'accès distant sont déjà configurés.

1. Modifiez le profil D'Accès distant existant.

   
   
   

2. Cliquez sur modifier le profil du profil d'Accès à distance.

   
   
   

3. Sélectionnez avancé, puis cliquez sur le bouton Ajouter.

   
   
   

4. Faites défiler jusqu'à spécifique au fournisseur et cliquez sur Ajouter.

   
   
   

5. Dans la fenêtre suivante, cliquez sur Ajouter pour créer les attributs nécessaires.

   
   
   

6. Dans la fenêtre informations sur les attributs spécifiques au fournisseur, sélectionnez entrer le code fournisseur et entrez 25461 dans le champ à droite (ci-dessous). Ensuite, sélectionnez "Oui, il est conforme," puis cliquez sur "configurer l'attribut...".

   
   
   

7. Dans la fenêtre suivante, entrez le numéro d'attribut attribué par le fournisseur, à partir de la première page de ce document. Le format d'Attribut doit être String.  La valeur de L'Attribut dépend de votre configuration.

   Voici un exemple de rôle (RôleTest) sur un périphérique PAN.

   

    

   Remarque: les utilisateurs RADIUS peuvent uniquement avoir des privilèges de superutilisateur en renvoyant «superutilisateur» comme chaîne de rôle dans le VSA.
   > Changer VSA en "super-utilisateur" pour PaloAlto-admin-Role

    

   Ci-dessous est un exemple d'un VSys (vsys1) sur un appareil de Palo Alto Networks.

   

    

   Voici un exemple de rôle (RôleTest) sur un serveur panorama.

   

    

   Voici un exemple de domaine d'accès (Domaine1) sur un serveur panorama.

   

    

   Ci-dessous est un exemple d'un groupe (TestGroup) qui peut être utilisé à la fois sur un appareil de Palo Alto réseaux et un serveur de panorama.

   

    

   L'exemple ci-dessous montre la configuration d'un rôle d'administrateur personnalisé sur un périphérique Palo Alto Networks (RôleTest) et un groupe (TestGroup) à utiliser dans le profil d'Authentification.  Ceux-ci ont été configurés dans la première section de ce document.

   

    

Serveur de stratégie réseau de Windows 2008: configuration des attributs spécifiques du fournisseur de Palo Alto Networks (VSA) vers Windows 2008 Server.

Hypothèse: le client RADIUS et la stratégie réseau sont déjà configurés.

1. Modifiez la stratégie réseau existante en cliquant avec le bouton droit dessus, puis en cliquant sur Propriétés.

   
   
   

2. Cliquez sur les paramètres; onglet, puis spécifique du fournisseur, puis cliquez sur le bouton Ajouter.

   
   
   

3. Faites défiler vers le bas dans la zone attributs et choisissez spécifique au fournisseur.

   
   
   

4. Cliquez sur le bouton Ajouter.

   
   
   

5. Dans la fenêtre informations sur les attributs spécifiques au fournisseur, sélectionnez entrer le code fournisseur, puis entrez 25461 dans le champ à droite (voir ci-dessous). Ensuite, sélectionnez "Oui, il est conforme," puis cliquez sur "configurer l'attribut...".

   
   
   

6. Dans la fenêtre suivante, vous allez entrer le numéro d'attribut attribué par le fournisseur, à partir de la première page de ce document.  Le format d'Attribut doit être String.  La valeur de L'Attribut dépend de votre configuration.  Vous trouverez ci-dessous des exemples de tous les attributs qui peuvent être configurés pour un périphérique de Palo Alto Networks et un serveur panorama.

   Ci-dessous est un exemple d'un rôle (RôleTest) sur un appareil de Palo Alto Networks.

   

    

   Ci-dessous est un exemple d'un VSys (vsys1) sur un appareil de Palo Alto Networks.

   

    

   Voici un exemple de rôle (RôleTest) sur un serveur panorama.

   

    

   Voici un exemple de domaine d'accès (Domaine1) sur un serveur panorama.

   

    

   Ci-dessous est un exemple d'un groupe (TestGroup) qui peut être utilisé à la fois sur un appareil de Palo Alto réseaux et un serveur de panorama.

   

    

   Dans L'exemple suivant, nous avons configuré un rôle d'administrateur personnalisé sur un périphérique Palo Alto Networks (RôleTest) et un groupe (TestGroup) à utiliser dans le profil d'Authentification.  Ceux-ci ont été configurés dans la première section de ce document.

   

    

Cisco ACS

Ensuite, la configuration de VSA sur le serveur Cisco ACS 4,0.

Hypothèse: RADIUS est configuré et fonctionne avec le serveur panorama.

1. Créez un fichier nommé palalto. ini dans le dossier utils du serveur ACS Cisco.

   

    

   Voici un exemple de ce que ce fichier ini doit inclure.

   
   
   

2. Enregistrez le fichier ini, incluez-le dans le serveur ACS en exécutant la commande csutil. exe qui se trouve dans le dossier bin du serveur ACS.

   Exemple: CSUtil. exe – addUDV 0 C:\Program Files\CiscoSecure ACS v 4.0 \ Utils\paloalto.ini

   
   
   

3. Dans le serveur ACS, sélectionnez la page Configuration de l'Interface, puis cliquez sur «RADIUS (PaloAlto)».

   
   
   

4. Choisissez les attributs que vous souhaitez utiliser.  Nous les avons tous sélectionnés dans L'exemple ci-dessous. Cliquez sur soumettre.

   
   
   

5. Modifiez les attributs du groupe ACS.  Nous avons créé un groupe appelé TestGroup.

   
   
   

6. Une fois dans le groupe, vous pouvez passer à la section "RADIUS (PaloAlto)", comme le voir ci-dessous.

   
   
   

7. Configurez les options que vous souhaitez utiliser. Dans L'exemple ci-dessous, J'ai configuré un rôle d'Administrateur personnalisé sur un serveur panorama (RôleTest) et un groupe (TestGroup) à utiliser dans le profil d'Authentification.  Ceux-ci ont été configurés dans la première section de ce document.

   

Voir aussi

Configuration de Cisco ACS 5,2 pour une utilisation avec les attributs spécifiques du fournisseur Palo Alto

propriétaire: rnit