RADIUS ベンダ固有の属性 (VSA)
Resolution
概要
このドキュメントでは、パロアルトネットワーク次世代ファイアウォールおよびパノラマサーバーで使用される RADIUS ベンダ固有の属性 (VSA) について説明します。パロ・アルト・ネットワーク・デバイスとパノラマ・サーバーの構成は同じです。
注: パロアルトネットワークは、ベンダーコードを使用しています: 25461
5つの属性があります:
- PaloAlto-管理者-役割: 属性 #1-これは、既定の管理者ロール名またはカスタム管理者ロール名のいずれかになります。
- PaloAlto-管理-アクセス-ドメイン: 属性 #2-これは、パロアルトネットワークデバイスが複数の vsys を持っている場合に使用されます。 これは、[デバイス] > [アクセスドメイン] の下に作成されたアクセスドメインの名前です。
- PaloAlto-パノラマ-管理者-役割: 属性 #3-これは、既定の管理者ロール名またはパノラマのカスタム管理者ロール名のいずれかになります。
- PaloAlto-パノラマ-管理-アクセス-ドメイン: 属性 #4-これは、パノラマ > アクセスドメインで作成されたパノラマで構成されたアクセスドメインの名前です。
- PaloAlto-ユーザグループ: 属性 #5-これは、認証プロファイルで使用されるグループの名前です。
- RADIUS サーバーを作成します (まだ存在していない場合)。ユーザーグループの取得は VSA 固有の機能であり、通常の RADIUS 構成では必要ありません。
- 認証プロファイルを作成します。 グループ名を使用して、ログインアクセス権を持たないユーザーに対して RADIUS 認証要求を除外する場合は、[許可リスト] ウィンドウの [追加のユーザー] にグループ名を入力します。 この例で使用されているグループ名は testgroup です。
注意:許可リストの設定はオプションです。 - パノラマ設定:
- パノラマ管理者アクセスの管理者ロールを構成します。 これにより、ユーザーアクセスに関連付けられているアクセス許可をパノラマで知ることができます。
- [デバイス] > [管理者ロール] に移動して、管理者ロールを作成します。このロールは、ログインしているユーザーに正しい権限を与えます。この例で使用されている管理者の役割は testrole です。
- デバイスグループとテンプレートのオプションをチェックして、アクセスドメイン内の指定されたデバイスへのアクセスのみを許可するようにしてください。
- ユーザーがどのような権限を持っているかをパノラマに伝えるアクセスドメインを構成します。
- 認証プロファイルをパロアルトネットワークデバイスまたはパノラマに適用します。 デバイス > セットアップ > 管理 > 認証プロファイルのデバイスとパノラマ > セットアップ > 管理 > パノラマの認証プロファイルに移動します。
windows 2003: パロアルトネットワークのベンダ固有の属性 (VSA) を windows 2003 サーバーに設定します。
前提条件: RADIUS クライアントとリモートアクセスポリシーは既に構成されています。
- 既存のリモートアクセスプロファイルを編集します。
- リモートアクセスプロファイルの [プロファイルの編集] ボタンをクリックします。
- [詳細設定] を選択し、[追加] をクリックします。
- [ベンダ固有] までスクロールし、[追加] をクリックします。
- 次のウィンドウで、[追加] をクリックして必要な属性を作成します。
- [ベンダ固有の属性情報] ウィンドウで、[仕入先コードの入力] を選択し、右側のフィールドに25461と入力します (下)。次に、[はい、それは準拠しています] を選択し、[属性の構成...] をクリックします。
- 次のウィンドウで、このドキュメントの最初のページからベンダが割り当てた属性番号を入力します。属性の形式は文字列である必要があります。 属性値は、構成によって異なります。
以下に、パンデバイス上のロール (testrole) の例を示します。
注意: RADIUS ユーザは、VSA のロール文字列として "スーパーユーザ" を返すことによって、スーパーユーザ権限のみを持つことができます。
> PaloAlto-Admin-役割のために VSA を "スーパーユーザー" に変更する以下は、パロアルトネットワークデバイス上の vsys (vsys1) の例です。
パノラマサーバー上のロール (testrole) の例を以下に示します。
以下に、パノラマサーバー上のアクセスドメイン (Domain1) の例を示します。
以下は、パロアルトネットワークデバイスとパノラマサーバーの両方で使用できるグループ (testgroup) の例です。
次の例は、認証プロファイルで使用されるパロアルトネットワークデバイス (testrole) およびグループ (testgroup) のカスタム管理役割の構成を示しています。 これらは、このドキュメントの最初のセクションで構成されています。
windows 2008 ネットワークポリシーサーバー: パロアルトネットワークのベンダ固有の属性 (VSA) を windows 2008 サーバーに設定します。
前提条件: RADIUS クライアントとネットワークポリシーは既に構成されています。
- 既存のネットワークポリシーを右クリックし、[プロパティ] をクリックして編集します。
- 設定をクリックします。タブをクリックし、[ベンダ固有] を選択します。
- [属性] ボックスを下にスクロールし、[ベンダ固有] を選択します。
- [追加] ボタンをクリックします。
- [ベンダ固有の属性情報] ウィンドウで、[仕入先コードの入力] を選択し、右側のフィールドに25461と入力します (以下を参照)。次に、[はい、それは準拠しています] を選択し、[属性の構成...] をクリックします。
- 次のウィンドウでは、このドキュメントの最初のページからベンダが割り当てた属性番号を入力します。 属性の形式は文字列である必要があります。 属性値は、構成によって異なります。 以下に、パロアルトネットワークデバイスおよびパノラマサーバー用に構成できるすべての属性の例を示します。
以下は、パロ・アルト・ネットワーク・デバイス上の役割 (testrole) の例です。
以下は、パロアルトネットワークデバイス上の vsys (vsys1) の例です。
パノラマサーバー上のロール (testrole) の例を以下に示します。
以下に、パノラマサーバー上のアクセスドメイン (Domain1) の例を示します。
以下は、パロアルトネットワークデバイスとパノラマサーバーの両方で使用できるグループ (testgroup) の例です。
次の例では、認証プロファイルで使用されるパロアルトネットワークデバイス (testrole) およびグループ (testgroup) でカスタム管理役割を構成しています。 これらは、このドキュメントの最初のセクションで構成されています。
シスコ ACS
次に、Cisco ACS 4.0 サーバー上の VSA を構成します。
想定: RADIUS が構成され、パノラマサーバーで動作しています。
- Cisco ACS サーバの [ユーティリティ] フォルダに palalto という名前のファイルを作成します。
この ini ファイルの例を以下に示します。
- ini ファイルを保存し、acs サーバの bin フォルダにある CSUtil コマンドを実行して、acs サーバーに追加します。
例: CSUtil – addUDV 0 c:\\ プログラムファイル Files\CiscoSecure ACS v4.0 \ Utils\paloalto.ini
- ACS サーバ内でインタフェース設定ページを選択し、「RADIUS (PaloAlto)」をクリックします。
- 使用する属性を選択します。 以下の例ではすべてのものを選択しました。[サブミット] をクリックします。
- ACS グループの属性を編集します。 testgroup というグループを作った
- グループに入ったら、次に示すように、「半径 (PaloAlto)」セクションにジャンプできます。
- 使用するオプションを設定します。次の例では、認証プロファイルで使用されるパノラマサーバー (testrole) およびグループ (testgroup) でカスタム管理役割を構成しています。 これらは、このドキュメントの最初のセクションで構成されています。
また見なさい
パロアルトベンダ固有の属性で使用するための Cisco ACS 5.2 の構成
所有者: rnit