DotW︰ 如何验证通过 Clearpass 和半径的帕洛阿尔托网络防火墙

DotW︰ 如何验证通过 Clearpass 和半径的帕洛阿尔托网络防火墙

40031
Created On 09/25/18 18:59 PM - Last Modified 06/08/23 09:44 AM


Resolution


此文档是从张贴的内容创建的, 任何人都使用阿鲁巴 Clearpass 设备来标识用户和计算机名称信息吗?在帕洛阿尔托网络直播社区讨论论坛.

 

这是取自阿鲁巴 Airheads 论坛,其中我是成员。它是原来由迈克 · 考特尼在自适应通信张贴。

 

这个操作运行泛 OS 帕洛阿尔托网络设备上配置 RADIUS 身份验证 5.x / 6.0,结合 Clearpass。帕洛阿尔托网络设备将配置从 Clearpass 接收半径 VSA 并为特定广告的用户提供超级用户访问权限。

因为之前,我有一个实验室运行 Clearpass 6.2.x。我有一个 Windows 2012 服务器与已定义的用户和组和我已经建立了必要的角色映射下配置 > 身份 > Clearpass 的角色映射。我还创建了 Clearpass / 小费都映射到我 Windows 2012 组的角色。

 

在 Clearpass 上安装

 

启用 Clearpass 中的帕洛阿尔托网络词典

1。管理 > 字典 > 半径
2. 筛选 > 供应商名称 > 包含
3. 单击PaloAlto, 然后单击启用

  • 配置 > 网络 > 设备
  • 选择添加设备
    • 名称 =<Name you'd="" like=""></Name>
    • RADIUS 共享秘密 =<Your shared="" secret=""></Your>
    • 供应商名称 = PaloAlto
  • 选择保存


创建设备组 (可选)

 

它是可取的但不是必需的在 Clearpass 中使用设备组。此步骤是可选的只是偏好。

1。配置 > 网络 > 设备组
2. 选择 "添加设备组
3". 填写 "名称"字段. 我们将使用帕洛阿尔托洛斯阿尔托斯在这个例子
4. 选择" 格式 5
" 下的列表. 在列表下, 将帕洛阿尔托设备从可用设备移动所选设备
6. 单击" 保存

  •  配置 > 执法 > 配置文件
  • 单击 "添加强制配置文件"
  • 选择基于 RADIUS 的强制执行作为模板
  • 提供一个名字,帕洛阿尔托半径管理
  • 确保 "接受"在 "操作 " 下设置
  • 在属性:
    • 类型-半径︰ PaloAlto
    • 名称-PaloAlto-Admin-角色,(1)
    • 值-超级用户
  • 单击" 保存


创建帕洛阿尔托网络执法策略

 

1。配置 > 执行 > 政策
2. 单击 "添加强制策略
3". 在执行, 提供一个名称,帕洛阿尔托登录执行政策
4. 验证半径是否为强制类型
5. 选择 "拒绝默认配置文件
6 的访问配置文件". 选择规则并单击 "添加规则
7". 我的看起来像这样︰

  • 类型-小贴士
  • 名称-作用
  • 操作员-等于
  • PaloAlto 管理员
  • 强制配置文件 > 配置文件名称 > [半径] 帕洛阿尔托半径管理
  • 单击" 保存


创建一个帕洛阿尔托网络登录服务

 

1。配置 > 服务

2。单击 "添加服务"

3。选择 半径强制类型 (泛型)

4。提供服务名称,帕洛阿尔托防火墙登录

5。在"服务规则" 下, 输入

  • 类型-连接
  • 名称-NAD-IP-地址
  • 操作员-BELONGS_TO_GROUP
  • 值-帕罗奥图尔托斯

6。根据身份验证︰

  • 身份验证方法-PAP
  • 验证来源-<your ad=""></your>

7。在 "角色" 下, 选择域的角色映射策略. 下面是我的样子, 点击修改

  • 类型-授权︰ Windows-2012年
  • 名称-memberOf
  • 操作员-等于
  • 值-CN = PaloAlto 管理员,CN = 用户,DC = 顶部,DC = 本地
  • 操作 > 角色名称 > PaloAlto 管理员

8。在执行>执行策略中,选择我们创建的执行策略 >> 帕洛阿尔托登录强制策略

9。单击" 保存

10。单击" 启用

 

 

配置帕洛阿尔托网络设备

 

请执行以下步骤通过 GUI。


1。转到设备 > 服务器配置文件 > 半径 >添加

  • 名称 = Clearpass  
  • 单击+ 添加 in 此菜单:
  • 名称 = Clearpass 服务器的 FQDN
  • 协议 = PAP
  • IP 地址 =<Clearpass ip="" address=""></Clearpass>
  • 秘密 = Clearpass 中的帕洛阿尔托网络设备的共享机密
  • 端口 = 1812 单击此菜单中的"确定"

2。转到设备 > 身份验证配置文件 >添加

  • 名称 = 潘 Clearpass
  • 身份验证 = 半径
  • 服务器配置文件 = Clearpass (从步骤 1)

3。转到设备 > 身份验证序列 >> + 添加

  • 名称 = 泛 Auth 序列
  • 单击+ 添加
  • 选择泛 Clearpass (从步骤 2)

 

验证 RADIUS 身份验证

 

此附加的设置,在帕洛阿尔托网络设备使用多个身份验证配置文件和 RADIUS 服务器上可能需要。它应保证在帕洛阿尔托网络设备上的 RADIUS 身份验证的步骤的一部分。

 

1。转到设备 > 设置 > 管理设置 > 身份验证设置

  • 单击小部件按钮在角落里
  • 在身份验证配置文件下选择泛 Clearpass
  • 保存此配置

你现在应该能够登录到 GUI 和 CLI 在帕洛阿尔托网络设备上的与 Clearpass。您可以通过输入验证这在 CLI 上︰

 

显示管理员

 

此外,AD 帐户会展前 @ 符号上成功的 CLI 连接︰

 

mcourtney@PA-200>

 

这将显示在 GUI 下︰

仪表板 > 管理员登录

 

您可以通过登录帕洛阿尔托网络设备和查看在监视中发现的访问跟踪器中的结果来验证事情是否正常运行
监视. 实时监控

 

你找到这篇文章很有帮助吗?竖起大拇指呢?请随时离开的问题或评论如下。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClS6CAK&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language