ドメイン アクセスをパノラマと Cisco ISE RADIUS サーバとの統合
Resolution
トラン スクリプト
みなさん、こんにちは、これは、アムステルダムの TAC (テクニカルアシスタンスセンター) からイオン Ermurachi です。
このビデオでは、管理アクセスを制限するためにパノラマアクセスドメインを構成する方法をデモンストレーションします。
ドメインの関連付けにアクセスするユーザーは、Cisco ISE RADIUS サーバーから動的に取得されます。configureation に飛び込む前に、どのようなアクセスドメインは、パノラマ上の意味を理解してみましょう。
私は、スーパーユーザーの役割を持つ管理者アカウントで、パノラマの GUI にアクセスしています。基本的に、私は、追加、変更、表示または何かを削除することができます制限は適用されません。
たとえば、スーパーユーザーのロールの場合、スーパーユーザーアカウントであれば、任意のデバイスグループに移動し、セキュリティポリシールールを追加できます。
しかし、マルチテナント環境、または管理するリソースが時間の経過とともに増加する傾向にある大企業では、ユーザーに限られた管理アクセスを提供することは理にかなっています。したがって、たとえば、user1 または company1 は firewal1 のみにアクセスできます。そしてユーザー2または company2 は firewal2 に関連した何でもにだけアクセスできる。私はあなたの作業例を示してみましょう。
同じパノラマでは、ユーザーディマは firewall1 のみのドメインにアクセスでき、ユーザー似通うはファイアウォール2にのみアクセスできます。
これらのアカウントでログインしてみましょう。
ローディング。
したがって、ユーザーディマは、firewall1、コンテキスト、ACC、モニター、デバイスグループ、テンプレート、およびパノラマに関連するリソースにのみアクセスできます。
しかし、ユーザー似通うは、ファイアウォール2リソース、コンテキスト、ACC、モニター、デバイスグループ、テンプレート、およびパノラマ にのみアクセスできます。
構成を前に進めましょう。パノラマに移動し、基本設定を読み込み、コミット、終了します。
アクセスドメイン機能には、最初に作成された管理者ロールプロファイルが必要です。管理者ロールプロファイルは、ユーザーがアクセスドメイン内で持つことができるアクセスを指定します。
私は2管理者の役割のプロファイルを作成します:
- まず、FW1-Admin-ロールになります。役割は、デバイスグループとテンプレートであり、私は任意の新橋を許可します。
- 次の管理者の役割のプロファイルは、FW2-admin-ロールになり、再び "デバイスグループとテンプレート" が選択されます。
次に、2つのアクセスドメインを作成します。
- 最初の1つは FW1-アクセスドメイン、アクセスのみ FW1-テンプレート、および FW1 のコンテキストを変更し、共有オブジェクトに書き込みます。
- 2番目のドメインは、FW2-アクセスドメイン、テンプレートのみ FW2 と変更デバイスコンテキストの FW2 のためになります。そして、私は書き込みに共有オブジェクトを変更するのを忘れてしまった。私はここでは、両方のユーザーが同じ会社で働いていると、彼らは共有オブジェクトに書き込むことができると仮定します。
次に、RADIUS サーバの設定を指定することができ、ここでは ISE サーバ、10.193.113.73 IP アドレスを構成している。
次に、このサーバーを認証プロファイル内で参照します。認証プロファイル名、認証の種類、RADIUS を使用するプロトコル、およびサーバープロファイルが ISE サーバであることがわかります。また、許可リストには興味がありません。すべての設定を行います。
次に、[セットアップ] > [管理] > [認証設定パノラマ] に移動します。ここでは、以前に構成された認証プロファイルを追加する必要があります。次に、設定をパノラマにコミットします。
それはパノラマの設定のためのすべてです。
次に、半径とワイヤ上で何が起こるかについて説明します。
私は私がテストをしていたときに、このビデオを記録する前に、パケットキャプチャを取った。パノラマは、radius アクセス要求 radius パケットを介して radius サーバー (この場合は Cisco ISE) に認証をリダイレクトします。ユーザー名は、NAS 識別子とパノラマの IP アドレスとして認証プロファイルが提供されます。応答として、アクセス許可がありました。
そこでここでは、認証を試みたユーザー名であり、注意することが重要なのは、パノラマに返されるベンダ固有の属性です。だから vsa 内で #3 は、ファイアウォールの管理者の役割を返され、vsa 内の #4 は FW1-アクセスドメインが返されます。これらの属性は、3番と4番です。
伊勢の構成を進めましょう。
我々は、デバイス管理、ネットワークリソースに移動します。私はすでにネットワークデバイスとしてパノラマを追加しました。名前、IP アドレス、および共有シークレットを指定します。
私も2ユーザー: ディマ-fw1-アクセスドメインと似通う-fw2-アクセスドメインを作成している。次に、[ポリシー] > [辞書] に移動し、[システム] の下に移動し、[ radius] > [radius ベンダー] を探します。私は辞書のベンダーとして PaloAltoNetworks を定義し、ベンダー固有の属性は、記録の瞬間にサポートされています。
次に、[承認] > [ポリシー要素] > [結果] > [承認] > [承認プロファイル ] に移動します。をクリックして追加し、名前を PANW-FW1-アクセスドメイン;アクセスの種類 > アクセス許可;ネットワークデバイスプロファイル PaloAltoNetworks。さて、辞書に移動し、PaloAltoNetworks を選択します。我々は、アクセスドメインを使用します。私たちはパノラマからコピーし、ISE の GUI に貼り付けるアクセスドメイン。そして、我々は、パノラマの GUI から管理者の役割のプロファイル名が必要になります, コピーして、伊勢に戻ります. これらは、先ほど追加した属性です。
次の承認プロファイルは、PANW-FW2-アクセスドメイン、アクセス許可、デバイスプロファイル PANW-デバイスプロファイルになります。
辞書に移動し、アクセスドメインを選択します。パノラマに移動し、FW2-アクセスドメインをコピーし、ISE GUI に貼り付けます。次の属性のために行く、管理者-ロールプロファイル-パノラマから値をコピーします。
管理者ロールプロファイル PaloAlto-パノラマ-admin-ロールである次の属性のために行きなさい。パノラマに戻り、FW2-Admin-ロールをコピーしてから、ISE に戻り、GUI に貼り付けます。
認証規則を確認します。我々は、デフォルトのルールが一致することが、DO1X、または一致しません。[許可されたプロトコル] は、PAP および CHAP RADIUS プロトコルを含む既定のネットワークアクセスです。すべてのユーザー id ストアには、ローカルストアが含まれます。
承認規則に進むことができます。
我々は、1つの一致するユーザーディマ-FW1-アクセスドメインと1つのマッチング砂 FW2-アクセスドメイン2ルールを追加します。
設定は、パケットキャプチャから取得することができます。私はマッチングのための3つの設定を追加します: ユーザー名、NAS 識別子、これはパノラマで定義されている認証プロファイル、およびパノラマの IP アドレスです。
ユーザーディマの場合は、[アクセス許可] に移動します。私は標準プロファイルと PANW-FW1-アクセスドメインを選択します。
次に、私は2番目のルールは、1つの一致するユーザー似通う-FW2-アクセスドメインの作成に移動します。また、認証プロファイルについては、標準プロファイルを選択します。 先ほど定義したものは、PANW-FW2-アクセスドメインです。これは、すべての ISE の設定です。
簡単なテストを行い、構成を検証してみましょう。
- ディマ-fw1-アクセス-ドメイン、ログイン。そして、似通う-fw2-アクセスドメイン、ログイン。
- ユーザーディマ-左側の fw1 とユーザー似通う-fw2 右側にあります。
- ユーザーディマは、デバイスグループ FW1 デバイスグループにのみアクセスできます。Anywere あなたは FW2 に関連するものが表示されません行く、唯一の FW1。
- 同じことは、ユーザーのために見ることができます似通う-FW2-アクセスドメイン, パノラマ管理されたデバイス FW2, 同じデバイスグループのテンプレートとデバイスと同じ.
もう1つのクイックチェックは、パノラマシステムのログです。モニタ > システムに移動します。これは、ユーザーディマ-fw1-アクセスドメイン、ISE サーバの IP アドレスの認証です。そしてここでは、FW1-admin-ロールと FW1-アクセスドメインを得た。ユーザー似通うと同じです。
ISE については、[操作] > [ライブログ] に移動できます。ここでは、認証ログの詳細について説明します。authentiaction polic、承認規則、および id ストアとは何かを知ることができます。これはユーザー名、承認規則、および承認プロファイルが返されました (もちろん、アクセス許可が返されました)。
そして、我々のビデオの終わりに達している。もう一度、これはイオンです、見ていただきありがとうございます、次のビデオであなたを参照してください。