Integration von Cisco ISE Guest Authentifizierung mit Pan-OS

Integration von Cisco ISE Guest Authentifizierung mit Pan-OS

118741
Created On 09/26/18 21:04 PM - Last Modified 05/31/23 18:41 PM


Resolution


von Marcos Buzo (Live-Community-Benutzername: @MarcosBuzo)

 

Dieses Dokument beschreibt, wie Cisco ISE konfiguriert werden kann, um User-ID-Informationen an Pan-OS zu senden.

Dieses Szenario wurde mit Cisco ISE 1.4.0-253 und Pan-OS 6,1 und 7,0 eingesetzt. 


In dem hier beschriebenen Szenario funktioniert die User-ID-Integration mit Active Directory bereits, so dass die Idee besteht, nur User-ID-Gästeinformationen von Cisco ISE zu sammeln. Sie können dieses Verhalten ändern, indem Sie die Subnetze bei den regulären Ausdrücken entfernen/ändern.

 

Cisco ISE arbeitet als RADIUS-Server, um Benutzer in einem Netzwerk zu authentifizieren und zu autorisieren. Wir werden RADIUS -Authentifizierung und Buchhaltungs Protokolle auf Pan-OS weiterleiten.


Details

 

Um ein neues Remote-Log-Ziel auf Cisco ISE zu konfigurieren, wird dieses Gerät Pan-OS sein:

  • Wählen Sie Administration > System > Protokollierung > Remote-Logging-Ziele.
  • Klick Hinzufügen.
  • Geben Sie ihm einen Namen, den Sie mögen, für den Zieltyp, wählen Sie UDP syslog. Für IP-Adresse, füllen Sie mit der Pan-0s-Management-Schnittstelle IP-Adresse.
  • Klicken Sie auf senden.

 

Picture1.png

Wiederholen Sie die folgenden Schritte, wenn Sie Benutzer-ID-Log-Informationen an andere Geräte senden möchten.

 

Konfiguration von ISE für vorwärts gerichtete Authentifizierung Syslog-Nachrichten

  • Wählen Sie Administration > System > Protokollierung > Protokollierungs Kategorien.
  • Klicken Sie auf verabschiedete Authentifizierungen.
  • Wählen Sie das entfernte Log-Ziel, das Sie zuvor auf der "verfügbaren" Spalte erstellt haben, und klicken Sie auf das ">"-Zeichen, um es in die Spalte "ausgewählte" zu verschieben.
  • Klicken Sie auf speichern.

Picture2.png

 

Konfiguration von ISE, um RADIUS Accounting Syslog Nachrichten

  • Wählen Sie Administration > System > Protokollierung > Protokollierungs Kategorien.
  • Klicken Sie auf RADIUS Accounting.
  • Wählen Sie das entfernte logziel aus, das Sie zuvor auf der Spalte "verfügbar" erstellt haben, und klicken Sie auf das ">"-Zeichen, um es in die Spalte "ausgewählte" zu verschieben
  • Klicken Sie auf speichern.

 

Picture3.png

 

Aktivieren Sie User-ID syslog Hörer-UDP auf Pan-OS

  • Wählen Sie Gerät > Setup > Management Interface Einstellungen.
  • Überprüfen Sie die Benutzer-ID syslog Listener-UDP-Box.
  • Klicken Sie auf "OK".

Picture4.png

 

Erstellen Sie ein Syslog Parse-Profil, das den interessanten Informationen über syslog-Nachrichten entspricht

  • Wählen Sie das Gerät > Benutzeridentifikation > Benutzer Abbildung.
  • Bearbeiten Sie Palo Alto Networks User ID Agent Setup und klicken Sie auf Syslog-Filter.
  • Klick Hinzufügen.
  • Füllen Sie alle Felder nach den folgenden Informationen aus.

 

Hier kommt der knifflige Teil-für drahtlose Geräte sendet Cisco ISE die User-ID-Informationen nur auf den Authentifizierungs Protokollen und für kabelgebundene Geräte, Cisco ISE sendet die User-ID-Informationen über die Buchhaltungs Protokolle.


In diesem Beispiel haben wir:

 

  • 10.10.130.0/24 = Wireless Guest
  • 10.10.30.0/24 = Wireless Guest
  • 10.10.140.0/24 = verdrahteter Gast

Passen Sie also das Ereignis Regex nach Ihren Bedürfnissen an.

 

  • Syslog Parse profile: Cisco ISE
  • Event Regex: ([A-Za-z0-9]. * CISE_Passed_Authentications. * ((gerahmt-IP-Adresse = 10 \. 10 \. 130) | ( Gerahmt-IP-Adresse = 10 \. 10 \. 30)) | ([A-Za-z0-9]. * CISE_RADIUS_Accounting. * (gerahmt-IP-Adresse = 10 \. 10 \. 140)))
  • Username Regex: (?<=UserName=|User-Name=)[\w-]+></=UserName=|User-Name=)[\w-]+>
  • Adresse Regex: gerahmt-IP-Adresse = ([0-9] {1, 3} \. [ 0-9] {1,3} \. [0-9] {1, 3} \. [0-9] {1, 3}) 
  • Klicken Sie auf "OK".

Picture6.png

 

Das Profil von Cisco ISE 2,1 syslog parieren sollte so aussehen: 

Event Regex
([A-Za-z0-9]. * CISE_Passed_Authentications. * gerahmt-IP-Adresse =. *) | ( [a-Za-z0-9]. * CISE_RADIUS_Accounting. * gerahmt-IP-Adresse =. *)

Benutzername Regex
User-Name = ([A-Za-z0-9 \ @ \-\ \/\ \ \ \. _] +) | Benutzername = ([a-Za-z0-9 \ @ \-\ \/\ \ \ \. _] +)

Adresse Regex
gerahmt-IP-Adresse = ([0-9] {1,3} \. [ 0-9] {1,3} \. [0-9] {1, 3} \. [0-9] {1, 3})

 

ISE-Server zur Server-Überwachungsliste hinzufügen

  • Wählen Sie das Gerät > Benutzeridentifikation > Benutzer Abbildung.
  • Unter Server-Überwachung klicken Sie auf hinzufügen.
  • Geben Sie ihm einen Namen und eine Beschreibung, die Sie mögen.
  • Zum Typ wählen Sie syslog Sender.
  • Für die Netzwerkadresse Geben Sie Ihre Cisco ISE IP-Adresse ein.
  • Für den Verbindungstyp wählen Sie UDP.
  • Für Filter wählen Sie Cisco ISE.
  • Für den Standard-Domain-Namen geben Sie Ihren NetBIOS-Domainnamen oder die Informationen ein, die zu Ihrer Umgebung passen.
  • Klicken Sie auf Übernehmen.

Picture7.png

 

 

Jetzt sind Sie gut zu gehen! Ihr Pan-OS sollte Benutzer-ID-Informationen von Cisco ISE erhalten. Sie können die folgenden CLI-Befehle verwenden, um zu überprüfen, ob es gut funktioniert:

 

Benutzer-Server anzeigen-die Zustands 
Anzeige Benutzer-IP-User-Mapping alle Typ syslog
Test User-ID-Benutzer-ID-syslog-Parse
Schwanz folgen ja MP-Log useridd. log

 

Referenzen


Die Konfiguration von Cisco ACS, um RADIUS-Abrechnung direkt an die Firewall zu senden, mit syslog
Konfiguration ISE, um Benutzer-Login-Veranstaltungen an CDA weiter

 

Wenn diese Informationen für Sie hilfreich waren, oder Ihr Interesse oder Ihre Neugier und ihren Wunsch, mehr zu erfahren, geweckt haben, lassen Sie bitte einen Daumen nach oben, einen Kommentar oder eine Frage in der Rubrik unten.

 

Vielen Dank,

Marcos Buzo

@MarcosBuzo

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm5sCAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language