DotW : Comment authentifier un Palo Alto Networks pare-feu via Clearpass et de rayon
Resolution
Ce document a été créé à partir du contenu affiché à est-ce que n'importe qui utilisant le dispositif d'Aruba Clearpass pour identifier l'utilisateur et l'information de nom de machine? dans le Forum de discussion communautaire Live de Palo Alto Networks.
Cela a été pris d’un forum Aruba Airheads, dont je suis membre. Il a été initialement Posté par Mike Courtney, à Communications adaptatives.
Ce How-to configure l’authentification RADIUS sur un périphérique de Palo Alto Networks exécutant PAN-OS 5.x / 6.0 et que l’intégration avec Clearpass. Le dispositif de Palo Alto Networks sera configuré pour recevoir un VSA RADIUS des Clearpass et de fournir un accès superutilisateur pour un utilisateur spécifique AD.
Comme avant, j’ai un laboratoire exécutant Clearpass 6.2.x. J’ai un serveur Windows 2012 avec utilisateurs définis et groupes et moi avons construit les mappages de rôle nécessaire sous Configuration > identité > mappages de rôle dans Clearpass. J’ai également créé Clearpass / conseils de rôles qui correspondent à mes groupes de Windows 2012.
Installation sur Clearpass
Activez le Palo Alto Networks dictionnaire en Clearpass
1. Administration > dictionnaires > rayon
2. Filtrer > nom du vendeur > contient > Palo
3. Cliquez sur PaloAlto, puis cliquez sur activer
- Configuration > réseau > périphériques
- Sélectionnez Ajouter des périphériques
- Nom =<Name you'd="" like=""></Name>
- RAYON Shared Secret =<Your shared="" secret=""></Your>
- Nom du vendeur = PaloAlto
- Sélectionnez Enregistrer
Créer un groupe de périphériques (facultatif)
Il est conseillé, mais pas obligatoire, d’utiliser des groupes de périphériques en Clearpass. Cette étape est facultative, juste une préférence.
1. Configuration > réseau > groupes de périphériques
2. Sélectionnez Ajouter un groupe de périphériques
3. Remplissez le champ nom . Nous allons utiliser Palo Altos dans cet exemple
4. Sélectionnez liste sous format
5. Sous la liste, déplacez L'Appareil Palo Alto des appareils disponibles sur les appareils sélectionnés
6. Cliquez sur enregistrer
- Configuration > application > profils
- Cliquez sur Ajouter un profil d'exécution
- Sélectionner l'APPLICATION RADIUS en fonction du modèle
- Fournir un nom, Palo Alto RADIUS Admin
- Assurez-vous que Accept est défini sous action
- Sous attributs :
- Type - rayon : PaloAlto
- Nom - rôle-Admin-PaloAlto (1)
- Valeur - superutilisateur
- Cliquez sur enregistrer
Créez une stratégie d’application de la loi Palo Alto Networks
1. Configuration > application de la loi > stratégies
2. Cliquez sur Ajouter une stratégie d'application
3. Sous exécution, fournir un nom, Palo Alto login Policy application
4. Vérifiez que RADIUS est le type d'application
5. Sélectionnez refuser le profil d'accès pour le profil par défaut
6. Sélectionnez règles et cliquez sur Ajouter la règle
7. Mine ressemble à ceci :
- Type - conseils
- Nom - rôle
- -L’opérateur égal
- PaloAlto-Admins
- Profils d'Application > noms de profil > [RADIUS] Palo Alto RADIUS admin
- Cliquez sur enregistrer
Créer un Service de connexion de Palo Alto Networks
1. Configuration > Services
2. Cliquez sur ajouter un service
3. Sélectionner le type d' application RADIUS (générique )
4. Fournir un nom pour le service, les Logins de Palo Alto Firewall
5. Sous règlede service, entrez
- Type - connexion
- Nom - adresse-IP-NAD
- Opérateur - BELONGS_TO_GROUP
- Valeur - Altos de Palo
6. Sous authentification :
- -Méthodes d’authentification PAP
- Sources d’authentification-<your ad=""></your>
7. Sous rôles, sélectionnez la stratégie de mappage de rôle pour votre domaine. Voici ce que mine ressemble en cliquant sur modifier
- Type - autorisation : Windows-2012
- Nom - memberOf
- -L’opérateur égal
- Valeur - CN = PaloAlto-Admins, CN = Users, DC = en haut, DC = local
- Actions > Nom_rôle > PaloAlto-Admins
8. Sous application de la politique d'application de la Loi >, Sélectionnez la politique d'application que nous avons créé > Palo Alto connexion politique d'application
9. Cliquez sur enregistrer
10. Cliquez sur activer
Configuration de l’appareil de réseaux de Palo Alto
Effectuez les opérations suivantes par le biais de l’interface graphique.
1. Aller à l'Appareil > profils du serveur > rayon > + ajouter
- Nom = Clearpass
- Cliquez sur + Ajouter in ce menu:
- Nom = nom de domaine complet du serveur Clearpass
- Protocole = PAP
- Adresse IP =<Clearpass ip="" address=""></Clearpass>
- Secret = Shared secret pour le périphérique de Palo Alto Networks dans Clearpass
- Port = 1812 cliquez sur OK dans ce menu
2. Aller à Device > Authentication Profile > + Add
- Nom = PAN-Clearpass
- Authentication = rayon
- Profil du serveur = Clearpass (à partir de l'étape 1)
3. Aller à Device > authentication sequence > + Add
- Nom = PAN-Auth-Sequence
- Cliquez sur + ajouter
- Sélectionnez Pan-Clearpass (à partir de l'étape 2)
Vérification de l’authentification RADIUS
Cette configuration supplémentaire sur un périphérique de Palo Alto Networks avec plusieurs profils d’authentification et les serveurs RADIUS peut être exigée. Il devrait être inclus dans le cadre des mesures pour garantir l’authentification RADIUS sur un périphérique de Palo Alto Networks.
1. Allez dans appareil > Setup > gestion paramètres > paramètres d’authentification
- Cliquez sur le bouton de Widget dans le coin
- Sélectionnez Pan-Clearpass sous profil d'Authentification
- Sauvegarder cette configuration
Vous devriez maintenant être en mesure de vous connecter à l’interface graphique et de la CLI sur un périphérique de Palo Alto Networks avec Clearpass. Vous pouvez le vérifier sur la CLI en entrant :
afficher les admins
En outre, le compte AD sera affiché avant le @ symbole sur une connexion réussie de la CLI :
mcourtney @ PA-200 >
Cela apparaît dans l’interface graphique sous :
Tableau de bord > connecté Admins
Vous pouvez vérifier que les choses fonctionnent en se connectant à un appareil de Palo Alto Networks et en affichant les résultats dans Access Tracker trouvé sous
Monitoring > Live Monitoring
Avez-vous trouvé cet article utile ? Pouce en l’air ? S’il vous plaît n’hésitez pas à laisser une question ou un commentaire ci-dessous.