成绩单
大家好,这是离子 Ermurachi 从技术协助中心 (TAC) 在阿姆斯特丹。
在这个视频中,我将 demontrate 如何使用用户身份验证将返回作为授权的"全景 Admin 角色"RADIUS 属性的一部分的 Cisco ISE 配置全景。
我们想要实现的是用户登录并只能访问仪表板和 ACC 选项卡, 没有别的。
为了实现这一点, 我们可以在全景管理角色下创建一个管理角色配置文件. 在这里我给用户 Web UI 和上下文切换用户界面下的仪表板和行政协调会访问。
防火墙会将重定向身份验证到 Cisco ISE 内 RADIUS 访问请求在哪里将添加用户名和 ISE 将以 access-accept 或访问-拒绝响应。内部访问-接受,我们希望思科伊势内属性返回字符串的仪表板-行政协调会。此仪表板 ACC 字符串的管理员角色配置文件的名称完全匹配。
配置后的管理角色配置文件,可以指定半径连接设置。这里我指定思科 ISE 作为服务器,10.193.113.73。接下来,我们将配置的身份验证配置文件"PANW_radius_auth_profile"。
接下来, 我们将去全景 >> 安装 > 身份验证设置,并设置以前配置的身份验证配置文件, 按 OK 然后提交. 这是需要从全景边做的配置。
为 Cisco ISE,会以保持配置简单,我将添加到全景设备,全景 72 作为名称、IP 地址、设备配置文件配置较早 (PANW-设备-配置文件),网络资源共享的秘密"paloalto"并点击提交。
接下来, 我将添加一个用户在管理 >> 身份管理 > 身份. 用户名将是 ion.ermurachi,密码 Amsterdam123,并提交。
接下来,我们将检查身份验证策略。这是一起单克隆抗体与 DOT1X 和 authenbtication 的默认规则默认 Cisco ISE 安装。我们将匹配此规则 (默认值),我们不做单克隆抗体与既不 DOT1X,所以我们将与去年的默认规则匹配。
如果没有匹配,包括 PAP 或 CHAP 和它的协议允许 DefaultNetworksAccess 将检查用于身份验证的所有身份存储库。所以我们会让它保持原样。
接下来, 我们将转到策略 > 授权 > 结果. 导航到授权 > 授权配置文件,单击添加。对于名称,我们将选择 AuthZ PANW Pano 管理员角色。
在这里我们将添加全景 Admin 角色 VSA,它将是这一个。访问类型访问-接受,PANW-设备-配置文件,然后我们会选择从词典 PaloAlto-全景-Admin-角色,属性号 3,再一次属性 3 号。在这里,我们将需要指定在这里指定的管理员角色配置文件的确切名称。
注意:确保您不离开任何空间, 我们将粘贴到伊势. 单击提交。
接下来,我们将去授权规则。在顶部创建一个规则。会想到 AuthZ Pano Admin 角色 ion.ermurachi 和条件,我将创建一个新的条件。我将通过 RADIUS 访问-请求中提供的用户名匹配。要做到这一点,选择属性选择半径,然后导航到底部和选择用户名。
所以此用户名将此设置从这里,访问请求的用户名。我会提供的字符串,是 ion.ermurachi。这是做。为权限,授权权限发送给用户,我们将添加在以前创建的授权配置文件然后单击保存。
这将是所有为 Cisco ISE 配置。
现在让我们来验证我们的配置是正确的。让我们做一个快速测试。我将打开私人的 web 页,我将尝试与 ion.ermurachi 密码 Amsterdam123 的新用户登录到全景。连接。正如你所看到的我们都只能访问仪表板和行政协调会的选项卡,没有别的。
我们可以检查全景日志以查看用户是否成功验证, 因此, 如果您去监视 >> 系统,您将看到事件授权-成功和仪表板-ACC VSA 返回从思科伊势.
在伊势侧, 你可以去操作 > 实时日志,正如你所看到的, 这里是成功的身份验证.
好吧,我们走到尽头的教程,感谢您的观看和在下一个视频中看到你。