DotW: Cómo autenticarse Palo Alto Networks Firewall vía Clearpass y radio
Resolution
Este documento fue creado a partir de contenido publicado en ¿alguien utiliza el dispositivo Clearpass de Aruba para identificar información de nombre de usuario y máquina? en el foro de discusión de la comunidad en vivo de Palo Alto Networks.
Esto fue tomado de un foro de cabezas huecas de Aruba, de la cual soy miembro. Fue originalmente publicado por Mike Courtney, en comunicación adaptativa.
Este cómo hacerlo configura la autenticación RADIUS en un dispositivo de Palo Alto Networks ejecuta PAN OS 5.x / 6.0 y la integración que con Clearpass. El equipo de Palo Alto Networks estará configurado para recibir una VSA radio de Clearpass y proporcionar acceso de superusuario de un usuario específico de AD.
Como antes, tengo un laboratorio ejecutando Clearpass 6.2.x. Tengo un servidor Windows 2012 con los usuarios definidos y grupos ya hemos construido las asignaciones de rol necesario bajo Configuración > identidad > Mappings de funciones en Clearpass. También he creado Clearpass / consejos de roles que se asignan a mis grupos de Windows 2012.
Configuración en Clearpass
Activar el Diccionario Palo Alto Networks Clearpass
1. Administración > diccionarios > radio
2. Filtro > nombre del proveedor > contiene > palo
3. Haga clic en PaloAltoy luego en activar
- Configuración > red > dispositivos
- Seleccione Agregar dispositivos
- Nombre =<Name you'd="" like=""></Name>
- RADIO compartido secreto =<Your shared="" secret=""></Your>
- Nombre de proveedor = PaloAlto
- Seleccione Guardar
Crear un grupo de dispositivos (opcional)
Es recomendable, pero no es necesario, utilizar grupos de dispositivos en Clearpass. Este paso es opcional, sólo una preferencia.
1. Configuración > red > grupos de dispositivos
2. Seleccione Agregar grupo de dispositivos
3. Rellena el campo nombre . Usaremos palo altos en este ejemplo
4. Seleccione lista en formato
5. En la lista, mueva el dispositivo palo alto de los dispositivos disponibles a los dispositivos seleccionados
6. Haga clic en Guardar
- Configuración > aplicación > perfiles
- Haga clic en agregar Perfil de aplicación
- Seleccionar la aplicación basada en RADIUS como plantilla
- Proporcione un nombre, palo alto RADIUS admin
- Asegúrese de que Accept se establece en acción
- Bajo atributos:
- Tipo - radio: PaloAlto
- Nombre - PaloAlto-Admin-papel (1)
- Valor - superusuario
- Haga clic en Guardar
Crear una política de aplicación de Palo Alto Networks
1. Configuración > aplicación > directivas
2. Haga clic en Agregar Directiva de aplicación
3. Bajo aplicación, proporcione un nombre, política de aplicación de login de palo alto
4. Compruebe que RADIUS es el tipo de aplicación
5. Seleccione denegar el perfil de acceso para el Perfil predeterminado
6. Seleccione reglas y haga clic en Agregar regla
7. Mina se parece a esto:
- Tipo - consejos
- Nombre - papel
- Operador - es igual a
- Administradores de PaloAlto
- Perfiles de aplicación > nombres de perfil > [radio] palo alto RADIUS admin
- Haga clic en Guardar
Crear un servicio de inicio de sesión de Palo Alto Networks
1. Configuración > servicios
2. Haga clic en Agregar servicio
3. Seleccionar tipo de aplicación de RADIUS (genérico )
4. Proporcione un nombre para el servicio, palo alto Firewall logins
5. En reglade servicio, escriba
- Tipo de conexión-
- Nombre - dirección-IP-NAD
- Operador - BELONGS_TO_GROUP
- Valor - Altos de Palo
6. Bajo autenticación:
- Métodos de autenticación - PAP
- Fuentes de autenticación-<your ad=""></your>
7. En roles, seleccione la Directiva de asignación de roles para su dominio. Esto es lo que el mío se parece al hacer clic en modificar
- Tipo - autorización: Windows-2012
- Nombre - memberOf
- Operador - es igual a
- Valor - CN = administradores de PaloAlto, CN = Users, DC = superior, DC = local
- Acciones > nombre papel > PaloAlto-administradores
8. Bajo aplicación > política de aplicación, Seleccione la política de aplicación que hemos creado > palo alto política de aplicación de inicio de sesión
9. Haga clic en Guardar
10. Haga clic en activar
Configurar el dispositivo de redes de Palo Alto
Realice los siguientes pasos a través de la GUI.
1. Ir al dispositivo > perfiles de servidor > radio > + añadir
- Nombre = Clearpass
- Click + Add in este MENU:
- Nombre = nombre de dominio completo del servidor Clearpass
- Protocolo = PAP
- Dirección IP =<Clearpass ip="" address=""></Clearpass>
- Secret = secreto compartido para el dispositivo de Palo Alto Networks en Clearpass
- Port = 1812 haga clic en aceptar en este menú
2. Ir al dispositivo > Perfil de autenticación > + añadir
- Nombre = PAN Clearpass
- Autenticación = radio
- Server Profile = Clearpass (desde el paso 1)
3. Ir al dispositivo > secuencia de autenticación > + añadir
- Nombre = PAN-Auth-secuencia
- Haga clic en + añadir
- Seleccione pan-Clearpass (del paso 2)
Verificación de autenticación RADIUS
Esta configuración adicional en un dispositivo de Palo Alto Networks con múltiples perfiles de autenticación y servidores RADIUS puede ser necesaria. Debe ser incluido como parte de las medidas para garantizar la autenticación RADIUS en un dispositivo de Palo Alto Networks.
1. Ir a dispositivo > Configuración > configuración de administración de > configuración de autenticación
- Haga clic en el botón del Widget en la esquina
- Seleccione pan-Clearpass bajo el perfil de autenticación
- Guardar esta configuración
Ahora debería poder iniciar sesión en la GUI y la CLI en un dispositivo de Palo Alto Networks con Clearpass. Se puede verificar en la CLI introduciendo:
Mostrar administradores
Además, la cuenta de AD se mostrará antes de la @ símbolo en una conexión exitosa de la CLI:
mcourtney @ PA-200 >
Esto aparecerá en la interfaz gráfica en:
Tablero de instrumentos > conectado administradores
Puede comprobar que las cosas están funcionando iniciando sesión en un dispositivo de redes palo alto y viendo los resultados en Access Tracker encontrados bajo
monitoreo > monitoreo en vivo
¿Usted encontró este artículo útil? ¿Pulgar hacia arriba? No dude en dejar una pregunta o comentario a continuación.