Integración de la autenticación de clientes de Cisco ISE con pan-os
Resolution
por Marcos buzo (nombre de usuario comunidad en vivo: @MarcosBuzo)
Este documento describe cómo configurar Cisco ISE para enviar información de ID de usuario a pan-os.
Este escenario se implementó con Cisco ISE 1.4.0-253 y pan-os 6,1 y 7,0.
En el escenario descrito aquí, la integración de ID de usuario con Active Directory ya está funcionando, por lo tanto, la idea es recopilar sólo información de usuario-ID de Cisco de Ise. Puede cambiar este comportamiento simplemente quitando/cambiando las subredes en las expresiones regulares.
Cisco ISE funciona como un servidor RADIUS para autenticar y autorizar a los usuarios en una red. Vamos a reenviar los registros de autenticación y contabilidad de RADIUS a pan-os.
—
Detalles
Configuración de un nuevo destino de registro remoto en Cisco ISE, este dispositivo va a ser pan-os:
- Elija administración > sistema > registro > objetivos de registro remotos.
- Haga clic en Agregar.
- Déle un nombre que le guste, para el tipo de destino, seleccione UDP syslog. Para la dirección IP, complete la dirección IP de la interfaz de administración de pan-0s.
- Haga clic en enviar.
Repita los pasos siguientes si desea enviar información de registro de ID de usuario a otros dispositivos.
Configuración de Ise para reenviar mensajes syslog de autenticación pasados
- Elija administración > sistema > registro > categorías de registro.
- Haga clic en autenticaciones pasadas.
- Seleccione el destino de registro remoto que creó antes en la columna "disponible" y haga clic en el signo ">" para moverlo a la columna "seleccionada".
- Haga clic en Guardar.
Configuración de Ise para reenviar mensajes de registro de RADIUS contable
- Elija administración > sistema > registro > categorías de registro.
- Haga clic en contabilidad de RADIUS.
- Seleccione el destino de registro remoto que creó antes en la columna "disponible" y haga clic en el signo ">" para moverlo a la columna "seleccionada".
- Haga clic en Guardar.
Activar usuario-ID syslog oyente-UDP en pan-os
- Seleccione dispositivo > configuración > configuración de la interfaz de administración.
- Consulte el cuadro de escucha del usuario-ID syslog-UDP.
- Haga clic en Aceptar.
Crear un perfil de análisis de syslog para que coincida con la información interesante de los mensajes syslog
- Elegir dispositivo > identificación del usuario > mapeo de usuario.
- Edite la configuración del agente de ID de usuario de Palo Alto Networks y haga clic en filtros syslog.
- Haga clic en Agregar.
- Llene todos los campos de acuerdo a la siguiente información.
Aquí viene la parte difícil-para dispositivos inalámbricos , Cisco ISE envía la información de ID de usuario sólo en los registros de autenticación y para dispositivos con cable , Cisco ISE envía la información de ID de usuario en los registros de Contabilidad.
En este ejemplo, tenemos:
- 10.10.130.0/24 = Wireless Guest
- 10.10.30.0/24 = Wireless Guest
- 10.10.140.0/24 = cable invitado
Por lo tanto, ajustar el evento regex abajo de acuerdo a sus necesidades.
- Syslog Parse Profile: Cisco ISE
- Evento regex: ([A-Za-z0-9]. * CISE_Passed_Authentications. * ((enmarcado-IP-address = 10 \. 10 \. 130) | ( Enmarcado-IP-address = 10 \. 10 \. 30)) | ([A-Za-z0-9]. * CISE_RADIUS_Accounting. * (enmarcado-IP-address = 10 \. 10 \. 140)))
- Nombre de usuario regex: (?<=UserName=|User-Name=)[\w-]+></=UserName=|User-Name=)[\w-]+>
- Dirección regex: Framed-IP-address = ([0-9] {1,3} \. [ 0-9] {1,3} \. [0-9] {1, 3} \. [0-9] {1,3})
- Haga clic en Aceptar.
El Perfil de análisis syslog de Cisco ISE 2,1 debería tener este aspecto:
Regex de evento
([A-Za-z0-9]. * CISE_Passed_Authentications. * enmarcado-IP-address =. *) | ( [a-Za-z0-9]. * CISE_RADIUS_Accounting. * enmarcado-IP-address =. *) nombre de
usuario regex User-Name = ([a-Za-z0-9 \ @ \-\ \ \ \. _] +) | UserName = ([a-Za-z0-9 \ @ \-\ \ \ \ \. _] +)
Dirección regex enmarcado
-IP-address = ([0-9] {1,3} \. [ 0-9] {1,3} \. [0-9] {1, 3} \. [0-9] {1,3})
Agregar servidores ISE a la lista de supervisión del servidor
- Elegir dispositivo > identificación del usuario > mapeo de usuario.
- En supervisión de servidor, haga clic en Agregar.
- Dale un nombre y una descripción que te guste.
- Para el tipo, seleccione syslog Sender.
- Para la dirección de red, inserte la dirección IP de Cisco ISE.
- Para el tipo de conexión, elija UDP.
- Para el filtro, seleccione Cisco ISE.
- Para el nombre de dominio predeterminado, inserte su nombre de dominio NetBIOS o la información que coincida con su entorno.
- Haga clic en confirmar.
¡ Ahora estás bien para ir! Su pan-os debe recibir información de ID de usuario de Cisco ISE. Puede utilizar los siguientes comandos de CLI para comprobar que funciona bien:
Mostrar usuario servidor-monitor estado
Mostrar usuario IP-usuario-mapping todo tipo prueba syslog usuario-ID
usuario-ID-syslog-Parse
cola siga sí MP-log ID. log
Referencias
Configurando Cisco ACS para enviar cuentas RADIUS directamente al firewall usando syslog configurando
ISE para reenviar eventos de inicio de sesión de usuario a CDA
Si esta información ha sido útil para usted, o despertó su interés o curiosidad y deseo de aprender más, por favor deje un pulgar hacia arriba, un comentario, o una pregunta en la sección de abajo.
Gracias,
Marcos buzo
@MarcosBuzo