Configuración de ISE Panorama Admin papel y Cisco
Resolution
TRANSCRIPCIÓN
Hola a todos, se trata de Ion Ermurachi de centro de asistencia técnica (TAC) en Amsterdam.
En este video, voy a demontrate cómo configurar el Panorama con la autenticación de usuario contra Cisco ISE que devolverá como parte de la autorización del atributo de radio "Panorama papel de Admin".
Lo que queremos conseguir es que el usuario inicie sesión y tenga acceso sólo a las fichas Dashboard y ACC, nada más.
Para implementar esto, podemos crear bajo funciones de panorama admin un perfil de rol admin. Aquí dio el usuario acceso panel de control y ACC bajo Web UI e IU de interruptor del contexto.
El firewall redirigiremos autenticación a Cisco ISE de una solicitud de acceso de radio donde se agregará el nombre de usuario y el ISE va a responder con un access-accept o un rechazo de acceso. Dentro de un Access-Accept, nos gustaría la ISE de Cisco para volver dentro de un atributo la cadena cadena Dashboard-ACC. Esta cadena de tablero de instrumentos-ACC coincide exactamente el nombre del perfil del rol admin.
Después de configurar el perfil de administración-papel, puede especificar la configuración de la conexión de radio. Aquí especifican la ISE de Cisco como un servidor, 10.193.113.73. A continuación, configuramos el perfil de autenticación "PANW_radius_auth_profile."
A continuación, vamos a ir a panorama > Setup > configuración de autenticación y configurar el perfil de autenticación configurado anteriormente, pulse Aceptar y luego commit. Esta es la configuración que debe hacerse desde el lado del Panorama.
Para ISE de Cisco, voy a intentar mantener la configuración simple, que voy a añadir a recursos de red, el dispositivo de Panorama, Panorama-72 como el nombre, la dirección IP, perfil de dispositivo configurado anterior (PANW-dispositivo-perfil), secreto compartido "paloalto" y haga clic en enviar.
A continuación, voy a añadir un usuario en la Administración > identidades de gestión: identidades. Nombre de usuario será ion.ermurachi, contraseña Amsterdam123 y enviar.
A continuación, revisaremos las políticas de autenticación. Se trata de una instalación de ISE de Cisco por defecto que viene con MAB, DOT1X y una regla por defecto de authenbtication. Será coincidencia esta regla (por defecto), no hacemos MAB y ni DOT1X, por lo que coincidirá con la última regla por defecto.
Si ninguna coincidencia, DefaultNetworksAccess de protocolos permiten que incluye PAP o CHAP y comprobará todas las tiendas para la autenticación de identidad. Así que lo dejaremos como es.
A continuación, vamos a ir a la política > autorización > resultados. Desplácese hasta autorización > Perfil de autorización, haga clic en Agregar. Para el nombre, elegimos papel AuthZ PANW Admin Pano.
Aquí agregamos el Panorama Admin papel VSA, que será este. Tipo de acceso Access-Accept, perfil de dispositivo PANW, entonces seleccionará de diccionarios PaloAlto-Panorama-administración-papel, número de atributo 3, una vez más atributo número 3. Y aquí tenemos que especificar el nombre exacto del papel de Admin perfil especificado aquí.
Nota: asegúrate de no dejar ningún espacio y lo vamos a pegar en ISE. Haga clic en enviar.
A continuación, nos dirigiremos a las reglas de autorización. Crear una regla en la parte superior. Lo nombro AuthZ Pano Admin papel ion.ermurachi, y para las condiciones, crearé una nueva condición. Coincidirá con el por el nombre de usuario que se proporciona en la solicitud de acceso RADIUS. Para ello, seleccione atributos y seleccione radio, desplácese hasta la parte inferior y elegir nombre de usuario.
Así que este nombre de usuario será esta configuración desde aquí, solicitud de acceso username. Y ofrecerá la cadena, que es ion.ermurachi. Esto se hace. Y de permiso, autorización, permisos al usuario, se agrega el perfil de autorización creado anteriormente, entonces haga clic en guardar.
Que será para la configuración de Cisco ISE.
OK, ahora vamos a validar que nuestra configuración es correcta. Vamos a hacer una prueba rápida. Abro una página web privada y voy a intentar iniciar sesión en Panorama con el nuevo usuario ion.ermurachi contraseña Amsterdam123. Conexión. Como ves, tenemos acceso a fichas de tablero de instrumentos y ACC, nada más.
Podemos comprobar los registros panorámicos para ver que el usuario autenticado correctamente, así que si vas a monitor > sistema verá el evento auth-éxito y el Dashboard-ACC VSA regresó de Cisco ISE.
En el lado de ISE, usted puede ir a la operación > registros en vivo, y como se puede ver, aquí está la autenticación exitosa.
OK, hemos llegado al final del tutorial, gracias por ver y nos vemos en el siguiente video.