Abschrift

Hallo an alle, das ist Ion Ermurachi aus dem TAC (Technical Assistance Center) in Amsterdam.

In diesem Video möchte ich zeigen, wie Sie die Panorama-Zugriffs Domäne konfigurieren können, um den administrativen Zugang zu begrenzen.
Der Benutzer, der auf Domain Association zugreifen soll, wird dynamisch von einem Cisco ISE RADIUS Server bezogen. Bevor Sie in die Konfiguration springen, lassen Sie uns verstehen, was Access Domain auf Panorama bedeutet.

Ich habe Zugriff auf die Panorama-GUI mit dem Admin-Konto, das die Superuser-Rolle hat. Grundsätzlich kann ich irgendetwas hinzufügen, modifizieren, anzeigen oder löschen, es werden keine Einschränkungen angewendet.

Zum Beispiel, für eine Superuser-Rolle, das Superuser-Konto, kann ich zu jeder beliebigen Gerätegruppe gehen und ich kann eine sicherheitspolitische Regel hinzufügen.
Aber in einem Multi-Mieter-Umfeld oder einem großen Unternehmen, in dem Ressourcen, die verwaltet werden sollen, im Laufe der Zeit tendenziell zunehmen, ist es sinnvoll, den Nutzern einen begrenzten administrativen Zugang zu bieten. So könnten beispielsweise User1 oder company1 nur firewal1 Zugang haben; und User 2 oder company2 konnten nur auf alles zugreifen, was mit firewal2 zu tun hat. Lassen Sie mich Ihnen ein funktionierendes Beispiel zeigen.

Auf dem gleichen Panorama hat User Dima nur Zugriff auf Domain für firewall1 und User Sandu hat nur Zugriff auf die Firewall 2.
Lassen Sie uns mit diesen Konten einloggen.

Aufladen.

So hat User Dima nur Zugriff auf Ressourcen, die mit firewall1, context, ACC, Monitor, GeräteGruppen, Vorlagen und Panorama verbunden sind.
Aber User Sandu hat nur Zugriff auf Firewall 2-Ressourcen, Kontext, ACC, Monitor, geräteGruppen, Vorlagen und Panorama .

Lassen Sie uns mit der Konfiguration vorankommen. Gehen Sie zum Panorama, laden Sie die Grundkonfiguration, Commit, schließen.

Die Access-Domain-Funktion benötigt zunächst ein admin-Rollen Profil. Das Admin-Rollen Profil gibt den Zugriff, den der Benutzer innerhalb einer Zugriffs Domäne haben kann.

Ich werde 2 admin-Rollenprofile erstellen:

• Zuerst wird FW1-admin-Rolle sein. Die Rolle wird Gerätegruppe und Vorlage sein, und ich werde jede acccess erlauben.
• Das nächste admin-Rollen Profil wird FW2-admin-Rolle sein und wieder wird "Gerätegruppe und Vorlage" ausgewählt.
  
  

Als nächstes werden wir 2 Zugriffs Bereiche erstellen:

• Die erste wird FW1-Access-Domain sein, nur auf FW1-Template zugreifen und den Kontext nur für FW1 ändern und auf geteilte Objekte schreiben.
• Die zweite Domain wird für FW2-Access-Domain, Vorlage nur für FW2 und Änderung des Geräte Kontextes nur für FW2. Und ich vergaß, das geteilte Objekt zum Schreiben zu ändern. Ich gehe hier davon aus, dass beide Nutzer in der gleichen Firma arbeiten und Sie auf gemeinsame Objekte schreiben können.

Als nächstes können wir die RADIUS-Server-Einstellungen angeben, ich habe hier einen ISE-Server, 10.193.113.73 IP-Adresse konfiguriert.
Dann verweisen Sie auf diesen Server in einem Authentifizierungs Profil. Sie können den Namen des Authentifizierungs Profils, die Art der Authentifizierung, den verwendeten Protokoll-RADIUS und das Serverprofil ist ISE-Server; und wir interessieren uns nicht für die Allow-Liste. Wir werden alle konfigurieren.

Als nächstes gehen Sie zum Setup > Management > Authentifizierungs-Einstellungen für Panorama. Hier müssen Sie das zuvor konfigurierte Authentifizierungs Profil hinzufügen. Dann die Einstellungen zu Panorama übertragen.

Das ist alles für die Konfiguration auf Panorama.

Als nächstes wollen wir über RADIUS und das, was auf dem Draht passiert, diskutieren.

Ich habe eine Paket Aufnahme gemacht, bevor ich dieses Video aufgenommen habe, als ich meine Tests machte. Panorama wird die Authentifizierung auf den RADIUS-Server umleiten, in diesem Fall auf Cisco ISE über ein RADIUS-Zugriffs RADIUS-Paket. Benutzername wird zur Verfügung gestellt, das Authentifizierungs Profil als NAS-Identifikator und die IP-Adresse des Panoramas. Als Reaktion darauf gab es eine Zugriffs Annahme.

Hier ist also der Benutzername, der versucht hat, sich zu authentifizieren, und was wichtig ist, sind die herstellerspezifischen Attribute, die an Panorama zurückgegeben werden. So innerhalb von VSA #3 wieder Firewall-admin-Rolle und innerhalb von VSA #4 wird FW1-Access-Domain zurückgegeben. Es sind diese Attribute, Nummer 3 und Nummer 4.

Lassen Sie uns mit der ISE-Konfiguration fortfahren.

Wir werden in die Geräteverwaltung, Netzwerkressourcen gehen. Ich habe schon Panorama als Netzwerkgerät hinzugefügt. Geben Sie ihm einen Namen, eine IP-Adresse und ein gemeinsames Geheimnis.

Ich habe auch die 2 Benutzer erstellt: Dima-fw1-Access-Domain und Sandu-fw2-Access-Domain. Als nächstes gehen Sie zu Policy > Wörterbüchern, gehen unter System und finden RADIUS > RADIUS-Anbieter. Ich habe die PaloAltoNetworks als Anbieter in Wörterbüchern und die herstellerspezifischen Attribute definiert, die im Moment der Aufzeichnung unterstützt werden.

Als nächstes gehen Sie zur Autorisierung > Policy Elements > Ergebnisse > Autorisierung > Autorisierungs Profil. Klicken Sie auf Hinzufügen und benennen Sie es PANW-FW1-Access-Domain; Zugangs Typ > Zugang-akzeptieren; Netzwerk-Geräte Profil PaloAltoNetworks. Gehen Sie nun in WörterBücher und wählen Sie PaloAltoNetworks. Wir werden Access-Domain verwenden. Die Zugriffs Domäne werden wir von Panorama kopieren und in die ISE-GUI einfügen. Und wir werden den Admin-Rollen Profil-Namen von Panorama GUI benötigen, kopieren und zurück zu ISE gehen. Das sind die Attribute, die wir gerade hinzugefügt haben.

Das nächste Berechtigungsprofil wird PANW-FW2-Access-Domain, Access-Accept, Geräte Profil PANW-Device-Profile sein.
Gehen Sie zu Wörterbüchern und wählen Sie Access-Domain. Gehen Sie zu Panorama und kopieren Sie FW2-Access-Domain, dann fügen Sie es in die ISE GUI. Gehen Sie für die nächsten Attribute, admin-Role-profile-kopieren Sie den Wert aus Panorama.

Gehen Sie für das nächste Attribut, das das Admin-Role-Profil PaloAlto-Panorama-admin-Rolle ist. Gehen Sie zurück zum Panorama und kopieren Sie die FW2-admin-Rolle und fügen Sie Sie dann in die GUI zurück.

ÜberPrüfen Sie die Authentifizierungs Regeln. Wir werden nicht mit MAB oder DO1X übereinstimmen, die Standardregel wird angepasst. "Erlaubte Protokolle" ist der Standard-Netzwerk Zugang, der PAP und CHAP RADIUS-Protokolle enthält. Alle User-Identity-Stores enthalten den lokalen Store.

Wir können mit den Berechtigungs Regeln vorankommen.

Wir werden 2 Regeln, eine passende Benutzer-Dima-FW1-Access-Domain und eine passende Sand-FW2-Access-Domain hinzufügen.
Die Einstellungen können aus den Packungs Aufnahmen entnommen werden. Ich werde 3 Einstellungen für Matching hinzufügen: Benutzername, NAS-Identifier, das ist das Authentifizierungs Profil, das im Panorama definiert ist, und die IP-Adresse des Panoramas.

Für User Dima, gehen Sie zu Berechtigungen. Ich werde Standardprofil und PANW-FW1-Access-Domain wählen.

Als nächstes werde ich mit der Erstellung einer zweiten Regel gehen, einer passenden Benutzer-Sandu-FW2-Access-Domain. Und für das Berechtigungsprofil werde ich das Standardprofil wählen. Die, die wir vorhin definiert haben, ist PANW-FW2-Access-Domain. Das ist alles für die ISE-Konfiguration.

Lassen Sie uns einen schnellen Test machen und unsere Konfiguration validieren:

• Dima-fw1-Access-Domain, Login. Und, Sandu-fw2-Access-Domain, Login.
• User Dima-fw1 auf der linken Seite und Benutzer Sandu-fw2 auf der rechten Seite.
• User Dima hat nur Zugriff auf die Gerätegruppe FW1-Device-Group. Wenn Sie gehen, werden Sie nichts sehen, was mit FW2, nur FW1.
• Das gleiche kann man für den Benutzer Sandu-FW2-Access-Domain, Panorama-verwaltetes Gerät FW2, gleich für Vorlagen und Gerät und gleich für Gerätegruppen sehen.
  
  

Eine weitere schnelle Überprüfung sind die Panorama-Systemprotokolle. Gehen Sie zum Monitor > System. Dies ist die Authentifizierung für User Dima-fw1-Access-Domain, IP-Adresse des ISE-Servers. Und hier bekamen wir FW1-admin-Rolle und FW1-Access-Domain. Gleiches gilt für User Sandu.

Für ISE können wir zu Operations > Live Logs gehen. Und hier ist, wie die Authentifizierungsprotokoll Details aussehen. Es kann Ihnen sagen, was ist die authentiaction Polic, was war die Autorisierungs Regeln, und Identity Store. Dies war der Benutzername, die Berechtigungs Regel und das Berechtigungsprofil zurückgegeben (und natürlich war es ein Zugriff-Accept wurde zurückgegeben).

Und wir sind am Ende unseres Videos angelangt. Noch einmal, das ist Ion, vielen Dank für das zuschauen, und sehen Sie im nächsten Video.