Integración de la autenticación de clientes de Cisco ISE con pan-os

Integración de la autenticación de clientes de Cisco ISE con pan-os

118759
Created On 09/26/18 21:04 PM - Last Modified 05/31/23 18:41 PM


Resolution


por Marcos buzo (nombre de usuario comunidad en vivo: @MarcosBuzo)

 

Este documento describe cómo configurar Cisco ISE para enviar información de ID de usuario a pan-os.

Este escenario se implementó con Cisco ISE 1.4.0-253 y pan-os 6,1 y 7,0. 


En el escenario descrito aquí, la integración de ID de usuario con Active Directory ya está funcionando, por lo tanto, la idea es recopilar sólo información de usuario-ID de Cisco de Ise. Puede cambiar este comportamiento simplemente quitando/cambiando las subredes en las expresiones regulares.

 

Cisco ISE funciona como un servidor RADIUS para autenticar y autorizar a los usuarios en una red. Vamos a reenviar los registros de autenticación y contabilidad de RADIUS a pan-os.


Detalles

 

Configuración de un nuevo destino de registro remoto en Cisco ISE, este dispositivo va a ser pan-os:

  • Elija administración > sistema > registro > objetivos de registro remotos.
  • Haga clic en Agregar.
  • Déle un nombre que le guste, para el tipo de destino, seleccione UDP syslog. Para la dirección IP, complete la dirección IP de la interfaz de administración de pan-0s.
  • Haga clic en enviar.

 

Picture1.png

Repita los pasos siguientes si desea enviar información de registro de ID de usuario a otros dispositivos.

 

Configuración de Ise para reenviar mensajes syslog de autenticación pasados

  • Elija administración > sistema > registro > categorías de registro.
  • Haga clic en autenticaciones pasadas.
  • Seleccione el destino de registro remoto que creó antes en la columna "disponible" y haga clic en el signo ">" para moverlo a la columna "seleccionada".
  • Haga clic en Guardar.

Picture2.png

 

Configuración de Ise para reenviar mensajes de registro de RADIUS contable

  • Elija administración > sistema > registro > categorías de registro.
  • Haga clic en contabilidad de RADIUS.
  • Seleccione el destino de registro remoto que creó antes en la columna "disponible" y haga clic en el signo ">" para moverlo a la columna "seleccionada".
  • Haga clic en Guardar.

 

Picture3.png

 

Activar usuario-ID syslog oyente-UDP en pan-os

  • Seleccione dispositivo > configuración > configuración de la interfaz de administración.
  • Consulte el cuadro de escucha del usuario-ID syslog-UDP.
  • Haga clic en Aceptar.

Picture4.png

 

Crear un perfil de análisis de syslog para que coincida con la información interesante de los mensajes syslog

  • Elegir dispositivo > identificación del usuario > mapeo de usuario.
  • Edite la configuración del agente de ID de usuario de Palo Alto Networks y haga clic en filtros syslog.
  • Haga clic en Agregar.
  • Llene todos los campos de acuerdo a la siguiente información.

 

Aquí viene la parte difícil-para dispositivos inalámbricos , Cisco ISE envía la información de ID de usuario sólo en los registros de autenticación y para dispositivos con cable , Cisco ISE envía la información de ID de usuario en los registros de Contabilidad.


En este ejemplo, tenemos:

 

  • 10.10.130.0/24 = Wireless Guest
  • 10.10.30.0/24 = Wireless Guest
  • 10.10.140.0/24 = cable invitado

Por lo tanto, ajustar el evento regex abajo de acuerdo a sus necesidades.

 

  • Syslog Parse Profile: Cisco ISE
  • Evento regex: ([A-Za-z0-9]. * CISE_Passed_Authentications. * ((enmarcado-IP-address = 10 \. 10 \. 130) | ( Enmarcado-IP-address = 10 \. 10 \. 30)) | ([A-Za-z0-9]. * CISE_RADIUS_Accounting. * (enmarcado-IP-address = 10 \. 10 \. 140)))
  • Nombre de usuario regex: (?<=UserName=|User-Name=)[\w-]+></=UserName=|User-Name=)[\w-]+>
  • Dirección regex: Framed-IP-address = ([0-9] {1,3} \. [ 0-9] {1,3} \. [0-9] {1, 3} \. [0-9] {1,3}) 
  • Haga clic en Aceptar.

Picture6.png

 

El Perfil de análisis syslog de Cisco ISE 2,1 debería tener este aspecto:

Regex de evento
([A-Za-z0-9]. * CISE_Passed_Authentications. * enmarcado-IP-address =. *) | ( [a-Za-z0-9]. * CISE_RADIUS_Accounting. * enmarcado-IP-address =. *) nombre de


usuario regex User-Name = ([a-Za-z0-9 \ @ \-\ \ \ \. _] +) | UserName = ([a-Za-z0-9 \ @ \-\ \ \ \ \. _] +)

Dirección regex enmarcado
-IP-address = ([0-9] {1,3} \. [ 0-9] {1,3} \. [0-9] {1, 3} \. [0-9] {1,3})

 

Agregar servidores ISE a la lista de supervisión del servidor

  • Elegir dispositivo > identificación del usuario > mapeo de usuario.
  • En supervisión de servidor, haga clic en Agregar.
  • Dale un nombre y una descripción que te guste.
  • Para el tipo, seleccione syslog Sender.
  • Para la dirección de red, inserte la dirección IP de Cisco ISE.
  • Para el tipo de conexión, elija UDP.
  • Para el filtro, seleccione Cisco ISE.
  • Para el nombre de dominio predeterminado, inserte su nombre de dominio NetBIOS o la información que coincida con su entorno.
  • Haga clic en confirmar.

Picture7.png

 

 

¡ Ahora estás bien para ir! Su pan-os debe recibir información de ID de usuario de Cisco ISE. Puede utilizar los siguientes comandos de CLI para comprobar que funciona bien:

 

Mostrar usuario servidor-monitor estado 
Mostrar usuario IP-usuario-mapping todo tipo prueba syslog usuario-ID
usuario-ID-syslog-Parse
cola siga sí MP-log ID. log

 

Referencias


Configurando Cisco ACS para enviar cuentas RADIUS directamente al firewall usando syslog configurando
ISE para reenviar eventos de inicio de sesión de usuario a CDA

 

Si esta información ha sido útil para usted, o despertó su interés o curiosidad y deseo de aprender más, por favor deje un pulgar hacia arriba, un comentario, o una pregunta en la sección de abajo.

 

Gracias,

Marcos buzo

@MarcosBuzo

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm5sCAC&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language