谈话 全文

大家好, 这是在阿姆斯特丹的 TAC (技术援助中心) 的离子 Ermurachi。

在本视频中, 我想演示如何配置全景访问域以限制管理访问.
访问域关联的用户将从 Cisco 势半径服务器动态获取. 在跳入 configureation 之前, 让我们了解访问域在全景图中的含义。

我使用管理员帐户访问全景 GUI, 它具有超级用户角色。基本上, 我可以添加、修改、查看或删除任何内容, 也不应用任何限制。

例如, 对于超级用户角色, 超级用户帐户, 我可以转到任何设备组, 并且可以添加安全策略规则。
但是在多租户环境中, 或者一个大公司, 如果要管理的资源会随着时间的推移而增加, 那么为用户提供有限的管理访问是有意义的. 例如, user1 或 company1 只能访问 firewal1;用户2或 company2 只能访问与 firewal2 相关的任何内容。让我给你看一个工作的例子。

在同一全景图中, 用户 dima 只能访问 firewall1 的域, 用户三都只能访问防火墙2。
让我们用这些帐户登录.

加载。

因此, 用户 dima 只能访问与 firewall1、上下文、ACC、监视器、设备组、模板和全景图相关的资源。
但是用户三都只能访问防火墙2资源、上下文、ACC、监视器、设备组、模板和全景图.

让我们继续进行配置。转到全景图, 加载基本配置, 提交, 关闭。

访问域功能, 需要首先创建一个管理员角色配置文件。管理员角色配置文件指定用户在访问域中可以拥有的访问权限。

我将创建2管理角色配置文件:

• 首先将是 FW1-Admin-Role。角色将是设备组和模板, 我将允许任何 acccess。
• 下一个管理角色配置文件将被 FW2-Admin-Role, 并将选择 "设备组和模板"。
  
  

接下来, 我们将创建2个访问域:

• 第一个将仅 FW1-Access-Domain,access FW1-template, 并仅更改 FW1 的上下文并写入共享对象。
• 第二个域将用于 FW2-Access-Domain, 仅用于 FW2 的模板, 只为 FW2 更改设备上下文。我忘了更改共享对象以进行写入。我认为在这里, 两个用户都在同一公司工作, 他们可以写入共享对象。

接下来, 我们可以指定 RADIUS 服务器设置, 我在这里配置了一个伊势服务器, 10.193.113.73 IP 地址。
然后在身份验证配置文件中引用此服务器. 您可以看到身份验证配置文件名称、身份验证类型、使用的协议半径和服务器配置文件为伊势服务器;我们对允许名单不感兴趣。我们将配置所有。

接下来, 转到安装 >> 管理 > 认证设置为全景。在这里, 您必须添加在前面配置的身份验证配置文件中。然后将设置提交到全景图。

这是所有的配置全景。

接下来, 我们来讨论一下半径和导线上发生的事情。

在录制此视频之前, 我进行了一个数据包捕获, 当我在做测试的时候。全景将向 radius 服务器重定向身份验证, 在这种情况下, Cisco 势通过 radius 访问请求 radius 数据包。将提供用户名、身份验证配置文件作为 NAS 标识符和全景的 IP 地址。作为回应, 有一个访问-接受。

所以这里是试图验证的用户名, 重要的是要注意的是供应商特定的属性返回到全景图。因此在 vsa 中 #3 返回防火墙管理角色, 在 vsa 中 #4 返回 FW1-Access-Domain。它们是这些属性, 数字3和数字4。

让我们进行伊势配置。

我们将去设备管理, 网络资源。我已经添加了全景作为一个网络设备。给它一个名称, 一个 IP 地址和一个共享的秘密。

我也创建了2用户: dima-fw1-access-domain 和 sandu-fw2-access-domain。接下来, 转到策略 > 字典, 进入系统并找到radius-radius 供应商. 我已将 PaloAltoNetworks 定义为字典中的供应商以及在录制时支持的特定于供应商的属性。

接下来, 转到授权 > 策略元素 >> 结果 > 授权 > 授权配置文件 . 点击添加并命名它 PANW-FW1-Access-Domain;访问类型 > 访问-接受;网络设备配置文件 PaloAltoNetworks。现在, 去字典, 选择 PaloAltoNetworks。我们将使用访问域。我们将从全景复制的访问域, 并将其粘贴到伊势 GUI 中。我们将需要从全景 GUI 的管理角色配置文件名称, 复制并返回到伊势。这些是我们刚刚添加的属性。

下一个授权配置文件将是 PANW-FW2-Access-Domain、访问-接受、设备配置文件 PANW 设备配置文件。
转到词典并选择访问域. 去全景和复制 FW2-Access-Domain, 然后粘贴在伊势 GUI。转到下一个属性, 管理角色配置文件-从全景图中复制值。

转到下一个属性, 即管理角色配置文件 PaloAlto 全景管理角色。返回全景图并复制 FW2-Admin-Role, 然后返回到伊势并将其粘贴到 GUI 中。

请检查身份验证规则。我们将不匹配的单克隆或 DO1X, 默认规则将匹配。"允许的协议" 是默认的网络访问, 包括 PAP 和 CHAP RADIUS 协议。所有用户标识存储都包括本地存储区。

我们可以通过授权规则向前迈进。

我们将添加2规则, 一个匹配的用户 dima-FW1-Access-Domain 和一个匹配的 sand-FW2-Access-Domain。
设置可以从数据包捕获中获取. 我将添加3个匹配的设置: 用户名, NAS 标识符, 这是在全景中定义的身份验证配置文件, 以及全景的 IP 地址。

对于用户 dima, 请转到 "权限"。我会选择标准配置文件和 PANW-FW1-Access-Domain。

接下来, 我将与创建第二个规则, 一个匹配的用户 sandu-FW2-Access-Domain。对于授权配置文件, 我将选择标准配置文件。 我们前面定义的那个是 PANW-FW2-Access-Domain。这是所有的伊势配置。

让我们做一个快速测试, 并验证我们的配置:

• dima-fw1-access-domain, 登入 还有, sandu-fw2-access-domain, 登入。
• 用户 dima-fw1 在左边和用户 sandu-fw2 在右边。
• 用户 dima 只能访问设备组 FW1-device-group。Anywere 你会去你不会看到任何有关 FW2, 只有 FW1。
• 对于用户 sandu-FW2-Access-Domain, 全景管理设备 FW2, 同样的事情可以看到相同的模板和设备, 以及设备组相同。
  
  

另一个快速检查是全景系统日志。转到监视器 > 系统. 这是用户 dima-fw1-access-domain 的身份验证, 是伊势服务器的 IP 地址。这里有 FW1-admin-role 和 FW1-access-domain 用户三都相同。

对于伊势, 我们可以去行动-活的日志。下面是身份验证日志详细信息的外观。它可以告诉你什么是 authentiaction 政策, 什么是授权规则, 以及身份存储。这是返回的用户名、授权规则和授权配置文件 (当然, 它是访问-接受被返回)。

我们已经到达视频的末尾。再次, 这是离子, 感谢你收看, 并在下一个视频看到你。