Configuration de rôle Admin Panorama et Cisco ISE
Resolution
RELEVÉ DE NOTES
Bonjour à tous, il s’agit d’Ermurachi Ion de la technique Assistance Center (TAC) à Amsterdam.
Dans cette vidéo, je vais démontrer comment configurer Panorama avec authentification de l’utilisateur contre Cisco ISE qui retournera dans le cadre de l’autorisation de l’attribut RADIUS du « Rôle d’Admin de Panorama ».
Ce que nous voulons atteindre est pour l'utilisateur de se connecter et d'avoir accès uniquement au tableau de bord et les onglets ACC, rien d'autre.
Pour implémenter cela, nous pouvons créer sous les rôles Admin panorama un profil de rôle Admin. Ici, j’ai donné l’utilisateur accès tableau de bord et le CAC sous Web UI et UI de commutation de contexte.
Le pare-feu redirigera l’authentification à ISE de Cisco dans une requête d’accès RADIUS où le nom d’utilisateur sera ajouté et la ISE répondra avec un access-accept ou un rejet d’accès. Au sein de l’Access-Accept, nous tenons l’ISE de Cisco à retourner dans un attribut de la chaîne string Dashboard-ACC. Cette chaîne de tableau de bord-ACC correspond exactement au nom du profil de rôle admin.
Après avoir configuré le profil Admin-rôle, les paramètres de connexion de rayon peuvent être spécifiés. Ici, j’ai précisé l’ISE de Cisco en tant que serveur, 10.193.113.73. Ensuite, nous allons configurer le profil d’authentification « PANW_radius_auth_profile. »
Ensuite, nous irons à panorama > Setup > paramètres d'Authentification et définir le profil d'Authentification configuré plus tôt, appuyez sur OK puis commit. Il s’agit de la configuration qui doit être fait du côté Panorama.
Pour Cisco ISE, je vais essayer de garder la configuration simple, que je vais ajouter aux ressources réseau, le dispositif de Panorama, Panorama-72 comme le nom, l’adresse IP, le profil de périphérique configuré antérieure (PANW-périphérique-profile), secret partagé « paloalto » et cliquez sur soumettent.
Ensuite, je vais ajouter un utilisateur dans l' administration > Identity Management > identités. Nom d’utilisateur est ion.ermurachi, mot de passe Amsterdam123 et envoyez.
Ensuite, nous allons vérifier les règles d’authentification. Il s’agit d’une installation de Cisco ISE par défaut qui vient avec MAB et DOT1X et une règle d’authenbtication par défaut. On va être correspondant à cette règle (par défaut), nous ne faisons pas MAB et ni DOT1X, donc nous nous alignerons sur la dernière règle par défaut.
Si aucune correspondance, permettre aux protocoles DefaultNetworksAccess qui inclut les PAP ou CHAP et il vérifiera tous les stockages d’identité pour l’authentification. Donc nous allons le laisser comme il est.
Ensuite, nous irons à la politique > autorisation > résultats. Accédez à autorisation > autorisation profil, cliquez sur Ajouter. Pour le nom, on choisira AuthZ-PANW-Pano-Admin-rôle.
Ici, nous allons ajouter le Panorama Admin rôle VSA, ce sera celui-ci. Type d’accès Access-Accept, PANW-dispositif-profil, puis nous choisira de dictionnaires PaloAlto-Panorama-Admin-rôle, numéro d’attribut 3, attribuer une nouvelle fois numéro 3. Et ici, nous aurons besoin de spécifier le nom exact du Admin rôle profil spécifié ici.
Note: Assurez-vous de ne laisser aucun espace et nous le collerons sur ISE. Cliquez sur soumettre.
Ensuite, nous irons aux règles d’autorisation. Créer une règle sur le dessus. J’ai il nommera AuthZ Pano Admin rôle ion.ermurachi et pour les conditions, je vais créer une nouvelle condition. J’ai correspondra par le nom d’utilisateur fourni dans la requête d’accès RADIUS. Pour ce faire, sélectionnez les attributs et sélectionnez RADIUS, puis naviguer vers le bas et choisissez le nom d’utilisateur.
Ce nom d’utilisateur sera donc ce paramètre d’ici, l’identifiant de requête d’accès. Et je vais vous donner la chaîne, qui est ion.ermurachi. Pour ce faire. Et pour permisssion, demande d’autorisation, d’autorisations à l’utilisateur, on va ajouter le profil d’autorisation précédemment créé, puis cliquez sur Enregistrer.
Ce sera tous pour configuration Cisco ISE.
OK, maintenant nous allons valider que notre configuration est correcte. Nous allons faire un test rapide. Je vais ouvrir une page web privée et je vais essayer de vous connecter à Panorama avec le nouvel utilisateur, mot de passe ion.ermurachi Amsterdam123. Connexion. Comme vous pouvez le constater, nous avons uniquement accès aux onglets de tableau de bord et ACC, rien d’autre.
Nous pouvons vérifier les journaux de panorama pour voir que l'utilisateur s'est authentifié avec succès, ainsi si vous allez à Moniteur > système vous verrez l'auth d'événement-succès et le tableau de bord-ACC VSA retourné de Cisco ISE.
Sur le côté ISE, vous pouvez aller à l' opération > Live logs, et comme vous pouvez le voir, voici l'authentification réussie.
OK, nous avons atteint la fin de ce tutoriel, je vous remercie pour regarder et vous voir dans la vidéo suivante.