DotW: クリアパスおよび RADIUS によるパロ ・ アルトのネットワーク ファイアウォールの認証方法
Resolution
このドキュメントは、で投稿されたコンテンツから作成された誰もがユーザーとマシン名の情報を識別するためにアルバ Clearpass デバイスを使用しています?パロアルトネットワークのライブコミュニティディスカッションフォーラム。
これはアルバ空挺堡フォーラム、私はメンバーから取られました。もともと投稿者マイク コートニー, 適応型通信でだった。
この使い方パン OS を実行しているパロアルト ネットワーク デバイスの RADIUS 認証を構成します 5.x/6.0 クリアパスを統合するとします。パロ ・ アルトのネットワーク デバイスは、クリアパスから半径 VSA を受信し、特定の AD ユーザーのスーパー ユーザー アクセスを提供構成されます。
前に、私はクリアパスを実行する演習を持っているとバージョン 6.2.x。私は定義されたユーザーと Windows 2012 サーバーとグループと私の構成の下で必要なロール マッピングを構築した > Identity > クリアパスのロール マッピング。私もクリアパスを作成しました/私の Windows 2012 グループに割り当てられている役割のヒントします。
クリアパスのセットアップ
クリアパスでパロ ・ アルト ネットワーク辞書を有効にします。
1。管理 > 辞書 > 半径
2. フィルタ > ベンダ名 > が含まれています > パロ
3。PaloAlto をクリックし、[有効 ] をクリックします。
- 構成 > ネットワーク > デバイス
- デバイスの追加を選択
- 名前 =<Name you'd="" like=""></Name>
- RADIUS 共有シークレット =<Your shared="" secret=""></Your>
- ベンダー名 = PaloAlto
- 保存 を選択
デバイス ・ グループを作成する (オプション)
それは勧められる、クリアパスでデバイス ・ グループを使用することは、必須ではありません。この手順はオプションで、基本設定にすぎません。
1。構成 > ネットワーク > デバイスグループ
2. [デバイスグループ
3の追加] を選択します。[名前] フィールドに入力します。この例
4では、パロアルトスを使用します。[書式 5] の一覧を選択し
ます。リストの下で、使用可能なデバイスから選択したデバイス6に
パロアルトデバイスを移動します。[保存 ]
- 構成 > 強制 > プロファイル
- [強制プロファイルの追加]
- テンプレートとしてRADIUS ベースの強制を選択する
- 名前を入力してください,パロアルトの RADIUS 管理
- [アクション ] の下に Accept が設定されていることを確認
- [属性。
- タイプ - 半径: PaloAlto
- 名前 - PaloAlto 管理者役割 (1)
- 値 - スーパー ユーザー
- [保存 ]
パロ ・ アルトのネットワーク実施方針を作成します。
1。構成 > 強制 > ポリシー
2. [強制ポリシーの追加
3 ] をクリックします。施行の下で、名前を、パロアルトログイン施行ポリシー4を提供
します。RADIUS が強制タイプ5であることを確認し
ます。既定のプロファイル6の [アクセスの拒否] を選択し
ます。[ルール] を選択し 、[ルール7の追加] をクリックし
ます。私は次のよう:
- ヒントの種類-
- 名前 - 役割
- 等値演算子 - します
- PaloAlto 管理者
- 強制プロファイル > プロファイル名 > [半径] パロアルト radius 管理者
- [保存 ]
パロ ・ アルトのネットワーク ログイン サービスを作成します。
1。構成 > サービス
2。[サービスの追加]
3。 RADIUS 強制の種類の選択(ジェネリック )
4. サービスの名前を入力してください,パロアルトのファイアウォールのログイン
5。[サービスルール] に
- -接続の種類
- 名前 - NAD IP アドレス
- オペレーター - BELONGS_TO_GROUP
- 値 - パロ アルト
6。[認証]。
- PAP 認証方式
- 認証元-<your ad=""></your>
7 です。[ロール] で、ドメインのロールマッピングポリシーを選択します。[変更 ] をクリックすると、次のようになります。
- 承認: Windows の種類 --2012
- -所属するグループの名前
- 等値演算子 - します
- 値 - CN PaloAlto-管理者、CN = ユーザー、DC = = トップ、DC = ローカル
- アクション > 役割名 > PaloAlto 管理者
8。[強制] > [強制ポリシー] で、作成した強制ポリシーを選択します > パロ・アルトログイン施行ポリシー
9。[保存 ]
10。[有効
パロ ・ アルトのネットワーク デバイスを構成します。
GUI では、次の手順を実行します。
1。[デバイス] > [サーバープロファイル] > [RADIUS] > [追加 ]
- 名前 = クリアパス
- クリック+ 追加 in このメニュー:
- 名前 = クリアパス サーバーの FQDN
- プロトコル PAP を =
- IP アドレス =<Clearpass ip="" address=""></Clearpass>
- 秘密クリアパスでパロ ・ アルトのネットワーク デバイス用の共有シークレットを =
- ポート = 1812 このメニューで[Ok ] をクリックします
2。デバイスに移動 > 認証プロファイル > + 追加
- 名前 = パン クリアパス
- 認証 = 半径
- サーバープロファイル = Clearpass (ステップ1から)
3。デバイスに移動 > 認証シーケンス > + 追加
- 名前 = パン認証シーケンス
- [ + 追加 ]
- Clearpass (ステップ2から) を選択します。
RADIUS 認証を確認します。
複数の認証プロファイルおよび RADIUS サーバーでパロ ・ アルトのネットワーク デバイスにこの追加の設定が必要です。それはパロ ・ アルト ネットワーク デバイスの RADIUS 認証を保証するための手順の一部として含まれているはずです。
1。デバイスに移動 > セットアップ > 管理設定 > 認証設定
- コーナーでのウィジェットのボタンをクリックします。
- 認証プロファイルでClearpassを選択します。
- この構成を保存します。
クリアパスとパロアルト ネットワーク デバイスの CLI と GUI にログインすることができます。入力して、CLI でこれを確認できます。
表示管理者
また、AD アカウント表示されます前に、CLI 接続が成功したら @。
mcourtney @ PA-200 >
これはの下で GUI に表示されます。
ダッシュ ボード > 管理者ログイン
あなたは、パロアルトネットワークデバイスにログインし、監視の下にあるアクセストラッカーの結果を表示することによって、物事が動作していることを確認することができます
> ライブ監視
この記事は役に立ちましたか。親指ですか。お気軽に質問やコメントを以下のままに。