Intégration de l'authentification client Cisco ISE avec Pan-OS

par Marcos buzo (nom de la communauté Live: @MarcosBuzo)

Ce document décrit comment configurer Cisco ISE pour envoyer des informations d'ID utilisateur à Pan-OS.

Ce scénario a été déployé avec Cisco ISE 1.4.0-253 et Pan-OS 6,1 et 7,0. 

Dans le scénario décrit ici, l'intégration de l'ID utilisateur avec Active Directory fonctionne déjà, donc, l'idée est de collecter uniquement les informations client ID utilisateur de Cisco ISE. Vous pouvez modifier ce comportement simplement en supprimant/changeant les sous-réseaux aux expressions régulières.

Cisco ISE fonctionne comme un serveur RADIUS pour authentifier et autoriser les utilisateurs sur un réseau. Nous allons transmettre les journaux d'authentification et de comptabilité RADIUS à Pan-OS.

—
Détails

Configuration d'une nouvelle cible de journal à distance sur Cisco ISE, ce périphérique va être pan-OS:

• Choisissez administration > système > journalisation > cibles de journalisation à distance.
• Cliquez sur ajouter.
• Donnez-lui un nom que vous aimez, pour le type de cible, sélectionnez le syslog UDP. Pour l'adresse IP, remplissez l'adresse IP de l'interface de gestion Pan-0.
• Cliquez sur Soumettre.

Répétez les étapes ci-dessous si vous souhaitez envoyer des informations de journal d'ID utilisateur à d'autres périphériques.

Configuration d'ISE pour transférer les messages syslog d'authentification passée

• Choisissez administration > System > Logging > journalisation catégories.
• Cliquez sur authentifications passées.
• Sélectionnez la cible du journal distant que vous avez créée avant dans la colonne «disponible», puis cliquez sur le signe «>» pour le déplacer vers la colonne «sélectionné».
• Cliquez sur Enregistrer.

Configuration d'ISE pour transférer les messages syslog de comptabilisation RADIUS

• Choisissez administration > System > Logging > journalisation catégories.
• Cliquez sur comptabilité RADIUS.
• Sélectionnez la cible du journal distant que vous avez créée avant dans la colonne «disponible» et cliquez sur le signe «>» pour le déplacer vers la colonne «sélectionné».
• Cliquez sur Enregistrer.

Activer l'écouteur syslog de l'ID utilisateur-UDP sur Pan-OS

• Choisissez Device > Setup > paramètres de l'interface de gestion.
• Cochez la case User-ID syslog Listener-UDP.
• Cliquez sur OK.

Créer un profil d'analyse syslog pour faire correspondre les informations intéressantes sur les messages syslog

• Choisissez Device > identification de l'utilisateur > mappage utilisateur.
• Edit Palo Alto Networks User ID agent d'installation et cliquez sur les filtres syslog.
• Cliquez sur ajouter.
• Remplissez tous les champs selon les informations ci-dessous.

Voici la partie délicate--pour les périphériques sans fil, Cisco ISE envoie les informations d'ID utilisateur uniquement sur les journaux d'authentification et pour les périphériques câblés , Cisco ISE envoie les informations d'ID utilisateur sur les journaux comptables.

Dans cet exemple, nous avons:

• 10.10.130.0/24 = invité sans fil
• 10.10.30.0/24 = invité sans fil
• 10.10.140.0/24 = invité filaire

Ainsi, ajustez la Regex d'événement ci-dessous selon vos besoins.

• Syslog parse Profile: Cisco ISE
• Regex d'événement: ([A-Za-z0-9]. * CISE_Passed_Authentications. * ((encadré-adresse IP = 10 \. 10 \. 130) | ( Framed-IP-address = 10 \. 10 \. 30)) | ([A-Za-z0-9]. * CISE_RADIUS_Accounting. * (encadré-adresse IP = 10 \. 10 \. 140)))
• Nom d'utilisateur Regex: (?<=UserName=|User-Name=)[\w-]+></=UserName=|User-Name=)[\w-]+>
• Adresse Regex: Framed-IP-Address = ([0-9] {1, 3} \. [ 0-9] {1, 3} \. [0-9] {1, 3} \. [0-9] {1,3}) 
• Cliquez sur OK.

Le Cisco ISE 2,1 syslog parse profil devrait ressembler à ceci:

Regex
d'événement ([A-Za-z0-9]. * CISE_Passed_Authentications. * Framed-IP-address =. *) | ( [a-zA-z0-9]. * CISE_RADIUS_Accounting. * Framed-IP-address =. *)

nom d'
utilisateur Regex User-Name = ([a-zA-z0-9 \ @ \-\ \ \ \ \ \. _] +) | UserName = ([a-zA-z0-9 \ @ \-\ \ \ \ \ \. _] +)

adresse Regex
encadrée-adresse IP = ([0-9] {1,3} \. [ 0-9] {1, 3} \. [0-9] {1, 3} \. [0-9] {1,3})    

Ajouter des serveurs ISE à la liste de surveillance du serveur

• Choisissez Device > identification de l'utilisateur > mappage utilisateur.
• Sous surveillance du serveur, cliquez sur Ajouter.
• Donnez-lui un nom et une description que vous aimez.
• Pour type, choisissez syslog sender.
• Pour l'adresse réseau, insérez votre adresse IP Cisco ISE.
• Pour le type de connexion, choisissez UDP.
• Pour filtrer, sélectionnez Cisco ISE.
• Pour le nom de domaine par défaut, insérez votre nom de domaine NetBIOS ou les informations correspondant à votre environnement.
• Cliquez sur Valider.

Maintenant vous êtes bon pour aller! Votre Pan-OS doit recevoir des informations d'ID utilisateur de Cisco ISE. Vous pouvez utiliser les commandes CLI suivantes pour vérifier qu'elle fonctionne correctement:

afficher l'état de l'utilisateur du serveur-moniteur 
afficher l'utilisateur IP-utilisateur-mappage tous les type syslog
test utilisateur-ID utilisateur-ID-syslog-parse
queue suivre Oui MP-log useridd. log  

Références

Configuration de Cisco ACS pour envoyer la comptabilisation RADIUS directement au pare-feu à l'aide de syslog
configurant ISE pour transférer les événements de connexion utilisateur au CDA

Si cette information a été utile pour vous, ou piqué votre intérêt ou la curiosité et le désir d'en apprendre davantage, s'il vous plaît laissez un pouce vers le haut, un commentaire, ou une question dans la section ci-dessous.

Merci,

Buzo Marcos

@MarcosBuzo