Nur-Lese Admin-Zugriff konfigurieren mit RADIUS unter Win2008 und Cisco ACS 5.2

Nur-Lese Admin-Zugriff konfigurieren mit RADIUS unter Win2008 und Cisco ACS 5.2

35000
Created On 09/25/18 17:50 PM - Last Modified 06/08/23 21:42 PM


Resolution


Übersicht

Das Gerät Palo Alto Networks verfügt über eine eingebaute Geräte Leser Rolle, die nur die Rechte an der Firewall gelesen hat. Die superreader-Rolle gibt Administratoren nur lesbaren Zugriff auf das aktuelle Gerät. In diesem Dokument wird beschrieben, wie die superreader-Rolle für RADIUS-Server, die auf Microsoft Windows 2008 und Cisco ACS 5,2 laufen, konfiguriert werden kann. Das Prinzip ist das gleiche für jede vorgegebene oder benutzerdefinierte Rolle auf dem Palo Alto Networks Gerät.

Die Rollen werden auf dem Palo Alto Networks-Gerät mit RADIUS-Vendor-spezifischen Attributen (VSA) konfiguriert.

Hinweis: die RADIUS-Server müssen vor dem Befolgen der Schritte in diesem Dokument laufen.

Schritte

Windows Server 2008 RADIUS

  1. Auf dem Gerät Palo Alto Networks gehen Sie zum Device > Server Profile > RADIUS und konfigurieren das RADIUS-Server-Profil mit der IP-Adresse, dem Port und dem geteilten Geheimnis für den RADIUS-Server.
    Screenshot 2014-02-19 um 11.41.05 Uhr. png
  2. Gehen Sie zum Device > Authentifizierungs Profil und erstellen Sie ein Authentifizierungs Profil mit RADIUS Server Profil.
    Screenshot 2014-07-04 um 9.21.37 Uhr. png
  3. Gehen Sie zu Device > Setup > Authentifizierungs Einstellungen und wählen Sie das RADIUS-Authentifizierungs Profil, das in Schritt 1 erstellt wurde (oben abgebildet):
    Screenshot 2014-02-19 um 11.44.06 Uhr. png
  4. Auf dem Windows-Server fügen Sie die Firewall als Client hinzu.
    Unter NPS > RADIUS Clients und Server > RADIUS Clients erstellen Sie das Client-Profil mit der IP-Adresse der Firewall und einem gemeinsamen Geheimnis, das für die Firewall verwendet wird:
    Screenshot 2014-02-19 um 11.54.44 Uhr. png
  5. Auf dem Windows-Server, konfigurieren Sie die Palo Alto Networks RADIUS VSA Einstellungen.
    Unter NPS > polices > Netzwerk-RichtLinien, erstellen Sie eine spezifische Richtlinie, die von der Firewall verwendet wird:
    Screenshot 2014-02-19 um 11.59.01 Uhr. png
  6. Fügen Sie die HerstellerSpezifischen Attribute für die Palo Alto Networks Firewall hinzu. Verwenden Sie 25461 als Anbieter Code.
    Screenshot 2014-02-20 um 12.00.09 Uhr. png
  7. In der Konfiguration Attribut, konfigurieren Sie den "superreader"-Wert, der nur nur lesbaren Zugriff auf die Benutzer, die der Gruppe der Benutzer, die diese Rolle haben wird zugeordnet werden:
    Screenshot 2014-02-20 um 12.00.59 Uhr. png
  8. Das Setup sollte ähnlich aussehen wie Folgendes:
    Screenshot 2014-02-20 um 12.01.09 Uhr. png
  9. Auf dem Windows-Server konfigurieren Sie die Gruppe der Domain-Benutzer, auf die die nur lesbare admin-Rolle haben wird.  Unter NPS > polices > Netzwerk-RichtLinien wählen Sie die entsprechende Gruppe im Reiter Bedingungen der Richtlinie:Screenshot 2014-02-20 um 12.03.53 Uhr. png
  10. Testen Sie das Login mit dem Benutzer, der Teil der Gruppe ist
  11. Nach dem Login sollte der Benutzer den nur lesbaren Zugriff auf die Firewall haben. Für diesen Benutzer sind keine Änderungen erlaubt (jedes Fenster sollte nur gelesen werden und jede Aktion sollte ausgegraut werden), wie unten gezeigt:Screenshot 2014-02-20 um 12.09.53 Uhr. png
  12. Die Verbindung kann in den Audit Protokollen auf der Firewall überprüft werden. Die Rolle, die dem eingeloggten Benutzer gegeben wird, sollte "superreader" sein
    Screenshot 2014-02-20 um 12.12.15 Uhr. png

  13. Wenn Probleme mit der Protokollierung erkannt werden, suchen Sie nach Fehlern im "authd. log" auf der Firewall, indem Sie den folgenden Befehl verwenden:
    > Schwanz folgen ja MP-Log authd. log

Cisco ACS 5,2

  1. Folgen Sie den Schritten 1, 2 und 3 der Windows 2008-Konfiguration oben, indem Sie die entsprechenden Einstellungen für den ACS-Server (IP-Adresse, Port und geteiltes Geheimnis) verwenden.
  2. Auf dem ACS, unter RADIUS VSA Erstellen Sie die paloalto VSA mit der Vendor ID: 25461.
    Screenshot 2014-02-20 um 12.26.19 Uhr. png
  3. Danach wählen Sie die Palo Alto VSA und erstellen die RADIUS-WörterBücher mit den Attributen und der IDs. Denken Sie daran, dass alle Wörterbücher erstellt wurden, aber nur die paloalto-admin-Rolle (mit der ID = 1) wird verwendet, um den
    Screenshot 2014-02-20 um 12.24.18 Uhr. png

    Lesewert dem Admin-Konto zuzuordnen.
  4. Unter Benutzern auf dem Abschnitt Benutzer und Identitäts Speicher der GUI, erstellen Sie den Benutzer, der verwendet wird, um sich in die Firewall einzuloggen.
    Screenshot 2014-02-20 um 12.31.48 Uhr. png
  5. Erstellen Sie unter politischen Elementen ein BerechtigungsProfil für die "superreader"-Rolle, die das PaloAlto-admin-Role-WörterBuch verwenden wird.
    Screenshot 2014-02-20 um 12.34.01 Uhr. png
  6. Im Berechtigungs Teil, im Rahmen der ZugriffsRichtlinien, erstellen Sie eine Regel, die den Zugriff auf die IP-Adresse der Firewall mit dem zuvor erstellten BerechtigungsProfil "Lesezugriff PA" ermöglicht.
    Screenshot 2014-02-20 um 12.36.33 Uhr. png
  7. Testen Sie das Login mit dem Benutzer, der Teil der Gruppe ist.
  8. Nach dem Login sollte der Benutzer den nur lesbaren Zugriff auf die Firewall haben. Für diesen Benutzer sind keine Änderungen erlaubt.
    Screenshot 2014-02-20 um 12.40.28 Uhr. png
  9. Die Verbindung kann in den Audit Protokollen auf der Firewall überprüft werden.
  10. Wenn Probleme mit der Protokollierung erkannt werden, suchen Sie nach Fehlern im "authd. log" auf der Firewall mit folgendem Befehl:
    > Schwanz folgen ja MP-Log authd. log

Siehe auch

RADIUS Vendor spezifische Attribute (VSA) -für die Konfiguration von admin-Rollen mit RADIUS, der auf Win 2003 oder Cisco ACS 4,0 läuft.

Besitzer: Ialeksov
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClKLCA0&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language