Konfigurieren von Panorama-Admin-Rolle und Cisco ISE
Resolution
TRANSKRIPT
Hallo an alle, dies ist Ion Ermurachi von Technical Assistance Center (TAC) in Amsterdam.
In diesem Video werde ich zuzugestehen wie Panorama mit Benutzer-Authentifizierung gegen Cisco ISE zu konfigurieren, die im Rahmen der Genehmigung des Attributs "Panorama-Admin-Rolle" RADIUS zurückgibt.
Was wir erreichen wollen, ist, dass sich der Benutzer einloggt und nur Zugriff auf das ArmaturenBrett und die ACC-Tabs hat, sonst nichts.
Um das umzusetzen, können wir unter Panorama-admin-Rollen ein admin-Rollen Profil erstellen. Hier habe ich den Benutzer Dashboard und ACC Zugang unter Web-UI und Kontext-Switch-UI.
Die Firewall wird leiten Sie Authentifizierung auf Cisco ISE innerhalb eines RADIUS Zugriffsanforderung wo der Benutzername wird hinzugefügt und die ISE antwortet mit einer Access-accept oder eine Access-Reject. In eine Access-Accept möchten wir die Cisco ISE in einem Attribut der String Dashboard-ACC-Zeichenfolge zurück. Dieses Dashboard-ACC-Zeichenfolge entspricht genau den Namen der das Rollenprofil von Admin.
Nach der Konfiguration der Admin-Rolle-Profil, können die Verbindungseinstellungen RADIUS angegeben werden. Hier angegeben ich Cisco ISE als Server, 10.193.113.73. Als nächstes konfigurieren wir die Authentifizierungsprofil "PANW_radius_auth_profile."
Als nächstes werden wir zu Panorama > Setup > Authentifizierungs Einstellungen gehen und das zuvor konfigurierte Authentifizierungs Profil einstellen, OK dann Commit drücken. Dies ist die Konfiguration, die von der Panorama-Seite getan werden muss.
Für Cisco ISE werde ich versuchen, die Konfiguration einfach zu halten, werde ich hinzufügen auf Netzwerkressourcen die Panorama, Panorama-72 als der Name, die IP-Adresse, Geräteprofil früheren (PANW-Device-Profil), Parametrierung freigegebenen geheimen "Paloalto" und klicken Sie auf senden.
Als nächstes werde ich einen Benutzer in der Verwaltung > Identity Management > Identitäten hinzufügen. Benutzernamen werden ion.ermurachi, Passwort Amsterdam123 und einreichen.
Als nächstes überprüfen wir die Authentifizierungsrichtlinien. Dies ist eine Standardinstallation Cisco ISE, die mit MAB und DOT1X und eine Standardregel Authenbtication kommt. Wir werden diese Regel (Standard) passend, tun wir nicht MAB und weder DOT1X, so dass wir die letzte Standardregel entsprechen wird.
Wenn keine Übereinstimmung prüft ermöglichen Protokolle DefaultNetworksAccess, die PAP oder CHAP und umfasst alle Identitätsspeichern für die Authentifizierung. Also lassen wir es, wie es ist.
Als nächstes werden wir zu Policy > Autorisierung > Ergebnisse gehen. Navigieren Sie zur Autorisierung > Berechtigungsprofil, klicken Sie auf hinzufügen. Für den Namen wählten wir AuthZ-PANW-Pano-Admin-Rolle.
Hier werden wir die Panorama-Admin-Rolle-VSA hinzufügen, wird es dieses sein. Zugriffstyp ausgewählten Access-Accept, PANW Geräteprofil, dann werden wir von Wörterbüchern PaloAlto-Panorama-Admin-Rolle, Attributnummer 3, wird wieder einmal Attribut Nummer 3. Und hier müssen wir den genauen Namen der hier angegebene Admin-Rolle-Profil angeben.
Hinweis: Vergewissern Sie sich, dass Sie keine Leerzeichen hinterlassen, und wir werden Sie auf ISE einfügen. Klicken Sie auf Absenden.
Als nächstes fahren wir nach Autorisierungsregeln. Erstellen Sie eine Regel auf der Oberseite. Ich nenne es AuthZ-Pano-Admin-Rolle ion.ermurachi, und für Bedingungen, ich erstelle eine neue Bedingung. Ich wird durch den Benutzernamen übereinstimmen, die in die RADIUS-Zugriffsanforderung bereitgestellt wird. Um dies zu erreichen, wählen Sie Attribute und wählen Sie RADIUS, dann navigieren Sie nach unten und wählen Sie Benutzernamen.
Dieser Benutzername wird also diese Einstellung hier Zugriffsanforderung Benutzernamen. Und ich will die Zeichenfolge, die ion.ermurachi ist. Dies geschieht. Und für liegen, für die Autorisierung für Berechtigungen an den Benutzer gesendet werden wir fügen Sie die zuvor erstellte Berechtigungsprofil, dann klicken Sie auf speichern.
Alle werden für die Konfiguration der Cisco ISE.
OK, jetzt lassen Sie uns überprüfen, ob die Konfiguration korrekt ist. Lassen Sie uns einen kurzen Test. Ich werde eine private Web-Seite öffnen und ich werde versuchen, Panorama mit den neuen Benutzer, ion.ermurachi Passwort Amsterdam123 anmelden. Verbinden. Wie Sie sehen können, haben wir nur Zugriff auf Registerkarten Dashboard und "ACC", nichts anderes.
Wir können die Panorama-Protokolle überprüfen, um zu sehen, dass der Benutzer erfolgreich authentifiziert, so dass, wenn Sie auf Monitor > System gehen, werden Sie sehen, das Ereignis auth-Erfolg und das armaturenBRETT-ACC VSA von Cisco ISE zurückgegeben.
Auf der ISE-Seite können Sie in den Betrieb gehen > Live-Protokolle, und wie Sie sehen können, hier ist die erfolgreiche Authentifizierung.
OK, wir erreichten am Ende des Tutorials, vielen Dank für das ansehen und wir sehen uns im nächsten Video.