RADIUS 供应商特定属性 (VSA)
Resolution
概述
本文档解释与帕洛阿尔托网络下一代防火墙和全景服务器一起使用的 RADIUS 供应商特定属性 (VSA)。帕洛阿尔托网络设备和全景服务器上的配置相同。
注: 帕洛阿尔托网络使用供应商代码: 25461
共有5个属性:
- PaloAlto-管理角色: 属性 #1-这可以是默认的管理员角色名称或自定义管理员角色名称.
- PaloAlto-管理-访问-域: 属性 #2-当帕洛阿尔托网络设备有多个 vsys 时, 使用此方法. 这是在 "设备 > 访问域" 下创建的访问域的名称。
- PaloAlto-全景-管理-角色: 属性 #3-这可以是默认的管理角色名称或全景上的自定义管理角色名称.
- PaloAlto-全景管理-访问域: 属性 #4-这是在全景 > 访问域下创建的全景上配置的访问域的名称.
- PaloAlto-用户组: 属性 #5-这是要在身份验证配置文件中使用的组的名称.
- 创建 RADIUS 服务器 (如果尚未有)。检索用户组是一个 VSA 特定的功能, 不需要正常的 RADIUS 配置。
- 创建身份验证配置文件。 如果要使用组名筛选出不应具有登录访问权限的用户的 RADIUS 身份验证请求, 请在 "允许列表" 窗口的 "其他用户" 中输入组名。 此示例中使用的组名为 testgroup。
注意:配置允许列表是可选的. - 全景设置:
- 为全景管理访问配置管理员角色。 这允许全景图了解与用户访问关联的权限。
- 转到设备 > 管理角色以创建管理员角色。此角色向登录的用户授予正确的权限。此示例中使用的管理角色是一个 testrole。
- 请确保检查设备组和模板的选项, 以便仅允许访问访问域中的指定设备。
- 配置访问域, 它告诉全景用户有哪些权限。
- 将身份验证配置文件应用于帕洛阿尔托网络设备或全景图。 转到设备 > 安装 > 管理 > 设备上的认证配置文件和全景 > 安装 > 管理 > 全景上的身份验证配置文件。
windows 2003: 将帕洛阿尔托网络供应商特定属性 (VSA) 配置为 windows 2003 服务器。
假设: 已配置 RADIUS 客户端和远程访问策略。
- 编辑现有的远程访问配置文件。
- 单击远程访问配置文件上的 "编辑配置文件" 按钮。
- 选择 "高级", 然后单击 "添加"。
- 滚动到特定于供应商的页面, 然后单击 "添加"。
- 在下一个窗口中, 单击 "添加" 以创建必要的属性。
- 在 "供应商特定的属性信息" 窗口中, 选择 "输入供应商代码", 然后在右侧的字段中输入 25461 (下)。接下来, 选择 "是, 它符合", 然后单击 "配置属性..."。
- 在下一个窗口中, 从该文档的第一页输入供应商分配的属性编号。属性格式应为字符串。 属性值将取决于您的配置。
下面是一个在 PAN 设备上的角色 (testrole) 的示例。
注意: RADIUS 用户只能通过将 "超级用户" 作为 VSA 中的角色字符串返回到超级用户权限.
>> 更改 VSA 为 "超级用户" PaloAlto-管理角色下面是一个 vsys (vsys1) 在帕洛阿尔托网络设备上的例子。
下面是全景服务器上角色 (testrole) 的一个示例。
下面是全景服务器上的访问域 (Domain1) 的示例。
下面是一个可以在帕洛阿尔托网络设备和全景服务器上使用的组 (testgroup) 的示例。
下面的示例显示了在帕洛阿尔托网络设备 (testrole) 和组 (testgroup) 上用于身份验证配置文件的自定义管理角色的配置。 这些是在本文档的第一节中配置的。
windows 2008 网络策略服务器: 将帕洛阿尔托网络供应商特定属性 (VSA) 配置为 windows 2008 服务器。
假设: 已配置 RADIUS 客户端和网络策略。
- 通过右键单击它, 然后单击 "属性" 来编辑现有的网络策略。
- 单击设置。选项卡, 则指定供应商, 然后单击 "添加" 按钮。
- 在 "属性" 框中向下滚动, 然后选择 "供应商特定"。
- 单击添加按钮。
- 在 "供应商特定的属性信息" 窗口中, 选择 "输入供应商代码", 然后在右侧的字段中输入 25461 (如下所示)。接下来, 选择 "是, 它符合", 然后单击 "配置属性..."。
- 在下一窗口中, 您将从本文档的第一页输入供应商分配的属性号。 属性格式应为字符串。 属性值将取决于您的配置。 下面列出了可以为帕洛阿尔托网络设备和全景服务器配置的所有属性的示例。
下面是帕洛阿尔托网络设备上角色 (testrole) 的一个示例。
下面是一个 vsys (vsys1) 在帕洛阿尔托网络设备上的例子。
下面是全景服务器上角色 (testrole) 的一个示例。
下面是全景服务器上的访问域 (Domain1) 的示例。
下面是一个可以在帕洛阿尔托网络设备和全景服务器上使用的组 (testgroup) 的示例。
在下面的示例中, 我们在帕洛阿尔托网络设备 (testrole) 和组 (testgroup) 上配置了一个自定义管理角色, 以便在身份验证配置文件中使用。 这些是在本文档的第一节中配置的。
思科 ACS
接下来, 在 Cisco ACS 4.0 服务器上配置 VSA。
假设: 半径被配置并使用全景服务器。
- 在 Cisco ACS 服务器的 Utils 文件夹中创建名为 palalto 的文件。
下面是该 ini 文件应包含的示例。
- 通过运行 acs 服务器 bin 文件夹中的 CSUtil.exe 命令, 保存 ini 文件, 并将其包含在 acs 服务器中。
示例: CSUtil.exe –addUDV 0 C:\Program 文件 \ CiscoSecure ACS v4.0 \ Utils \ paloalto. ini
- 在 ACS 服务器中, 选择 "接口配置" 页, 然后单击 "半径 (PaloAlto)"。
- 选择要使用的属性。 我们在下面的示例中选择了所有这些选项。单击提交。
- 编辑 ACS 组上的属性。 我们创建了一个叫 testgroup 的小组。
- 在组中, 您可以跳转到 "半径 (PaloAlto)" 部分, 如下所示。
- 配置要使用的选项。在下面的示例中, 我已经在一个全景服务器 (testrole) 和组 (testgroup) 上配置了一个自定义管理角色, 以便在身份验证配置文件中使用。 这些是在本文档的第一节中配置的。
请参见
配置 Cisco ACS 5.2 以与帕洛阿尔托供应商的特定属性一起使用
所有者: rnit