トラン スクリプト
みなさん、こんにちは、これはイオン Ermurachi アムステルダムで技術支援センター (TAC) から。
このビデオで私は、demontrate を「パノラマ管理者役割」RADIUS 属性の承認の一部として返す、Cisco 伊勢に対するユーザー認証とパノラマの設定方法となります。
私たちが達成したいのは、ユーザーがログインして、ダッシュボードと ACC のタブにのみアクセスすることです, 何もない.
これを実装するには、管理者ロールプロファイルの [パノラマ管理者ロール] で作成します。ここで私はユーザー ダッシュ ボードと ACC アクセス Web UI とコンテキスト スイッチ UI を与えた。
ファイアウォールは、ユーザー名が追加され、ISE、access-accept メッセージまたはアクセス拒否で応答し、RADIUS アクセス要求内で Cisco ISE に認証をリダイレクトします。アクセスの許可、内 Cisco ISE が属性内でダッシュ ボード ACC 文字列を返すと思います。このダッシュ ボード ACC 文字列は、正確に管理者ロールのプロファイルの名前と一致します。
管理者ロールのプロファイルを構成すると、RADIUS 接続の設定を指定できます。ここではサーバー、10.193.113.73 として Cisco ISE を指定しました。次に、我々 は認証プロファイル"PANW_radius_auth_profile"を構成します。
次に、[パノラマ] > [セットアップ] > [認証の設定] に移動し、以前に構成した認証プロファイルを設定し、[OK] をクリックしてコミットします。パノラマ側から行う必要がある構成です。
Cisco ise 私はパノラマ デバイス、名前、IP アドレス、デバイス プロファイルとしてパノラマ 72 以前 (PANW-デバイス-プロファイル構成)、ネットワーク リソースに共有秘密"paloalto"とクリックして送信を追加します、シンプルな構成を維持しようとします。
次に、[管理] > [ id 管理] > [id ] にユーザーを追加します。ユーザー名は ion.ermurachi、Amsterdam123 のパスワードと送信されます。
次に、認証ポリシーをチェックします。MAB と DOT1X デフォルト authenbtication ルールとデフォルトの Cisco ISE インストールです。我々 はこのルール (既定値) がマッチングされます、我々 しない MAB とどちらも DOT1X ので最後の既定のルールを一致します。
一致しない場合は、PAP や CHAP を含む許可プロトコル DefaultNetworksAccess は認証のためのすべてのアイデンティティ ストアをチェックします。それは、それそのまま。
次に、ポリシー > 承認 > 結果に進みます。承認に移動 > 承認プロファイル、[追加] をクリックします。名は、AuthZ PANW パノ管理者役割を選びましたが。
ここでパノラマ管理者役割 VSA を追加する、この 1 つになります。アクセスの種類がアクセス許可、プロファイル-デバイス-PANW、それから我々 はロールを選択から辞書 PaloAlto-パノラマ-管理者 - 属性の番号 3、もう一度番号 3 の属性します。ここで我々 はここで指定されている管理者の役割のプロファイルの正確な名前を指定する必要があります。
注:あなたはスペースを残していないことを確認し、我々は伊勢に貼り付けます。[サブミット] をクリックします。
次に、承認規則に行きます。上にルールを作成します。AuthZ パノ Admin ロール ion.ermurachi を名づけるかと条件については、私は新しい条件を作成します。私は、RADIUS アクセス要求で提供されているユーザー名が一致します。属性を選択し、半径を選択し、下部に移動ユーザー名を選択します。
だからこのユーザー名は、この設定はここで、アクセス要求のユーザー名になります。Ion.ermurachi である文字列を提供します。これで完成です。権限、アクセス許可、ユーザーに送信されるため、承認のために我々 は、先ほど作成した権限プロファイルを追加、保存] をクリックします。
すべてされる Cisco ISE 構成のため。
さあ、私たちの構成が正しいことを検証します。簡単なテストをやってみましょう。専用の web ページを開くし、私は新しいユーザー、ion.ermurachi パスワード Amsterdam123 を使ってパノラマにログインしようとします。接続しています。あなたが見ることができる、何のみダッシュ ボードや ACC のタブへのアクセスがあります。
我々は、ユーザーが正常に認証されたことを確認するためにパノラマログを確認することができます, あなたは監視に行く場合> システムは、イベントの auth-成功とシスコ伊勢から返されるダッシュボード ACC の VSA が表示されます.
ISE 側では、[操作] > [ライブログ] に移動でき、ここで確認できるように、認証に成功しています。
[Ok] を私たちはありがとうございましたチュートリアルの終わりに達し、次のビデオを参照してください。