Transcription

Bonjour à tous, c'est ion Ermurachi du TAC (Technical Assistance Center) à Amsterdam.

Dans cette vidéo, je voudrais démontrer comment vous pouvez configurer le domaine d'Accès panorama pour limiter l'accès administratif.
L'utilisateur d'accéder à l'association de domaine sera obtenu dynamiquement à partir d'un serveur Cisco ISE RADIUS. Avant de sauter dans la configuration, nous allons comprendre ce que le domaine d'accès signifie sur panorama.

J'accède à l'interface graphique panoramique avec le compte admin, qui a le rôle super-utilisateur. Fondamentalement, je peux ajouter, modifier, afficher ou supprimer quoi que ce soit, aucune restriction n'est appliquée.

Par exemple, pour un rôle de superutilisateur, le compte Super-utilisateur, je peux aller à n'importe quel groupe de périphériques et je peux ajouter une règle de stratégie de sécurité.
Mais dans un environnement multi-locataire, ou une grande entreprise où les ressources à gérer tendent à augmenter avec le temps, il est logique de fournir aux utilisateurs un accès administratif limité. Ainsi, par exemple, User1 ou assurances1 pourrait avoir accès à seulement firewal1; et l'utilisateur 2 ou assurances2 pourrait accéder à tout ce qui concerne firewal2. PerMettez-moi de vous montrer un exemple de travail.

Sur le même Panorama, l'utilisateur Dima a accès au domaine pour FIREWALL1 uniquement et l'utilisateur n'a accès qu'à Firewall 2.
Nous allons nous connecter avec ces comptes.

Chargement.

Ainsi, l'utilisateur Dima n'a accès Qu'aux ressources liées à FIREWALL1, contexte, ACC, moniteur, groupes de périphériques, modèles et panorama.
Mais l'utilisateur n'a accès Qu'aux ressources du pare-feu 2, contexte, ACC, moniteur, groupes de périphériques, modèles et panorama.

Nous allons avancer avec la configuration. Aller à Panorama, charger la configuration de base, valider, fermer.

La fonctionnalité de domaine d'accès, nécessite un profil d'administrateur créé en premier. Le profil de rôle admin spécifie l'accès que l'utilisateur peut avoir dans un domaine d'accès.

Je vais créer 2 profils de rôle Admin:

• Premier sera FW1-admin-Role. Le rôle sera groupe de périphériques et le modèle et je vais permettre à tout Acccess.
• Le prochain profil de rôle admin sera FW2-admin-Role et encore "Device Group et template" sera choisi.
  
  

Ensuite, nous allons créer 2 domaines d'accès:

• Le premier sera FW1-Access-Domain, l'accès seulement FW1-template, et changer le contexte uniquement pour FW1 et écrire à des objets partagés.
• Le deuxième domaine sera pour FW2-Access-Domain, template uniquement pour FW2 et changer le contexte de périphérique uniquement pour FW2. Et J'ai oublié de changer l'objet partagé à écrire. Je suppose ici que les deux utilisateurs travaillent dans la même entreprise et ils peuvent écrire à des objets partagés.

Ensuite, nous pouvons spécifier les paramètres du serveur RADIUS, J'ai configuré ici un serveur ISE, 10.193.113.73 adresse IP.
Ensuite, référencez ce serveur dans un profil d'Authentification. Vous pouvez voir nom du profil d'Authentification, type d'Authentification, le protocole utilisé RADIUS et le profil du serveur est ISE-Server; et nous ne sommes pas intéressés par la liste des permis. Nous allons configurer tout.

Ensuite, allez à Setup > Management > Authentication setttings pour panorama. Ici, vous devez ajouter dans le profil d'Authentification configuré précédemment. Ensuite, valider les paramètres de panorama.

C'est tout pour la configuration sur panorama.

Ensuite, discutons de RADIUS et de ce qui se passe sur le fil.

J'ai pris une capture de paquets avant d'enregistrer cette vidéo, quand je faisais mes tests. Panorama redirigera l'authentification vers le serveur RADIUS, dans ce cas, Cisco ISE via un paquet RADIUS de demande d'accès RADIUS. Le nom d'utilisateur sera fourni, le profil d'Authentification comme NAS-identifier et l'adresse IP du panorama. En réponse, il y avait un accès-accepter.

Voici donc le nom d'utilisateur qui a essayé d'authentifier, et ce qui est important à noter est les attributs spécifiques au fournisseur qui sont retournés à Panorama. Ainsi, dans VSA #3 est retourné rôle admin pare-feu et dans VSA #4 est retourné FW1-Access-Domain. Ce sont ces attributs, numéro 3 et numéro 4.

Procédons à la configuration ISE.

Nous allons aller à l'administration de périphériques, ressources réseau. J'ai déjà ajouté Panorama comme un périphérique réseau. Donnez-lui un nom, une adresse IP et un secret partagé.

J'ai aussi créé les 2 utilisateurs: Dima-FW1-Access-Domain et Sander-FW2-Access-Domain. Ensuite, allez à la stratégie > dictionnaires, allez sous système et trouver RADIUS > vendeurs RADIUS. J'ai défini le PaloAltoNetworks comme un fournisseur dans les dictionnaires et les attributs spécifiques au fournisseur pris en charge au moment de l'enregistrement.

Ensuite, allez à authorization > policy Elements > Results > Authorization > Authorization Profile. Cliquez sur Ajouter et nommez-le PANW-FW1-Access-Domain; Type D'Accès > Access-Accept; Profil de périphérique réseau PaloAltoNetworks. Maintenant, allez dans les dictionnaires et choisissez PaloAltoNetworks. Nous allons utiliser Access-Domain. Le domaine d'accès que nous allons copier à partir de panorama et le coller dans l'INTERFACE utilisateur d'ISE. Et nous aurons besoin du nom de profil de rôle admin de panorama GUI, copiez et retournez à ISE. Ce sont les attributs que nous venons d'ajouter.

Le prochain profil d'autorisation sera PANW-FW2-Access-Domain, Access-Accept, Device Profile PANW-Device-Profile.
Accédez aux dictionnaires et choisissez Access-Domain. Accédez à Panorama et copiez FW2-Access-Domain, puis collez-le dans l'interface utilisateur d'ISE. Allez pour les attributs suivants, admin-Role-Profile-copiez la valeur de panorama.

Allez pour l'attribut suivant, qui est l'admin-Role Profile PaloAlto-panorama-admin-Role. Retournez à Panorama et copiez le FW2-admin-Role, puis retournez à ISE et collez-le dans l'interface graphique.

Vérifiez les règles d'Authentification. Nous ne correspondrons pas à MAB ou DO1X, la règle par défaut sera assortie. Les «protocoles autorisés» sont l'accès réseau par défaut, qui inclut les protocoles PAP et CHAP RADIUS. Tous les magasins d'identité d'utilisateur incluent le magasin local.

Nous pouvons aller de l'avant avec des règles d'Autorisation.

Nous allons ajouter 2 règles, un utilisateur correspondant Dima-FW1-Access-Domain et un correspondant Sand-FW2-Access-Domain.
Le setttings peut être pris à partir de captures de paquets. Je vais ajouter 3 paramètres pour la correspondance: username, NAS-identifier, qui est le profil d'Authentification défini dans Panorama, et l'adresse IP du panorama.

Pour l'utilisateur Dima, accédez aux autorisations. Je vais choisir le profil standard et PANW-FW1-Access-Domain.

Ensuite, je vais aller avec la création d'une deuxième règle, un utilisateur correspondant Sandals-FW2-Access-Domain. Et pour le profil d'autorisation, je vais choisir le profil standard. Celui que nous avons défini précédemment est PANW-FW2-Access-Domain. C'est tout pour la configuration d'ISE.

Faisons un test rapide et valider notre configuration:

• Dima-FW1-Access-Domain, login. Et, Sand-FW2-Access-Domain, login.
• utilisateur Dima-FW1 sur la gauche et l'utilisateur Sand-FW2 sur la droite.
• L'Utilisateur Dima n'a accès Qu'au groupe de périphériques FW1-Device-Group. Anywere vous irez vous ne verrez rien lié à FW2, seulement FW1.
• La même chose peut être vu pour l'utilisateur Sand-FW2-Access-Domain, panorama FW2 Device géré, même pour les modèles et le périphérique et même pour les groupes de périphériques.
  
  

Un contrôle plus rapide est les logs du système panorama. Allez dans le système Monitor >. Il s'agit de l'authentification pour l'utilisateur Dima-FW1-Access-Domain, l'adresse IP du serveur ISE. Et ici nous avons obtenu FW1-admin-Role et FW1-Access-Domain. Idem pour l'utilisateur Sand.

Pour ISE, nous pouvons aller à Operations > Live logs. Et voici comment les détails du journal d'Authentification regarder. Il peut vous dire quelle est la police authentiaction, quelles étaient les règles d'autorisation, et le magasin d'identité. C'était le nom d'utilisateur, la règle d'autorisation et le profil d'autorisation retourné (et bien sûr, il s'agissait d'un Access-Accept a été retourné).

Et nous avons atteint la fin de notre vidéo. Une fois de plus, c'est ion, Merci de regarder, et vous voir dans la prochaine vidéo.