Cisco ISE ゲスト認証と汎 OS の統合
Resolution
マルコス武宗 (ライブコミュニティのユーザー名: @MarcosBuzo)
このドキュメントでは、ユーザー id 情報を PAN OS に送信するように Cisco ISE を構成する方法について説明します。
このシナリオは、Cisco ISE 1.4.0-253 および PAN-OS 6.1 および7.0 と共に展開されました。
ここで説明するシナリオでは、Active Directory とのユーザー id の統合は既に機能しているため、Cisco ISE からユーザー id 情報のみを収集することを考えています。この動作は、正規表現でサブネットを削除または変更するだけで変更できます。
Cisco ISE は、ネットワーク上のユーザーを認証および承認するための RADIUS サーバーとして機能します。RADIUS認証とアカウンティング・ログを汎 OS に 転送する予定です。
—
詳細
Cisco ISE で新しいリモート・ログ・ターゲットを設定すると、このデバイスはパン・ OS になります。
- 管理/システム/ロギング/リモートロギングターゲットを選択します。
- [追加] をクリックします。
- それにあなたが好む名前を与えなさい、ターゲットタイプのために、UDP Syslog を選びなさい。ip アドレスの場合は、PAN-0s 管理インターフェイスの ip アドレスを入力します。
- [サブミット] をクリックします。
ユーザー id のログ情報を他のデバイスに送信する場合は、次の手順を繰り返します。
渡された認証 Syslog メッセージを転送するように ISE を設定する
- 管理/システム/ロギング/ロギングカテゴリを選択します。
- [渡された認証] をクリックします。
- [利用可能] 列で作成したリモートログターゲットを選択し、">" 記号をクリックして [選択済み] 列に移動します。
- [保存] をクリックします。
RADIUS アカウンティングの Syslog メッセージを転送するように ISE を設定する
- 管理/システム/ロギング/ロギングカテゴリを選択します。
- [RADIUS アカウンティング] をクリックします。
- [利用可能] 列で作成したリモートログターゲットを選択し、[>] 記号をクリックして [選択済み] 列に移動します。
- [保存] をクリックします。
ユーザー ID Syslog リスナ-UDP をパン OS で有効にする
- デバイス/設定/管理インタフェース設定を選択します。
- ユーザー ID の Syslog リスナ-UDP ボックスをチェックします。
- [Ok] をクリックします。
syslog メッセージに関する興味深い情報と一致するように syslog 解析プロファイルを作成する
- デバイス > ユーザー id > ユーザーマッピングを選択します。
- パロアルトネットワークユーザー ID エージェントのセットアップを編集し、Syslog フィルターをクリックします。
- [追加] をクリックします。
- 以下の情報に従ってすべてのフィールドを入力します。
ここではトリッキーな部分が来る-ワイヤレスデバイスの場合は 、cisco ise は、認証ログとワイヤードデバイスのユーザー id 情報を送信すると 、cisco ise は、アカウンティングログにユーザー id 情報を送信します。
この例では、次のものがあります。
- 10.10.130.0/24 = ワイヤレスゲスト
- 10.10.30.0/24 = ワイヤレスゲスト
- 10.10.140.0/24 = ワイヤードゲスト
したがって、必要に応じて以下のイベント regex を調整してください。
- Syslog パースプロファイル: シスコ伊勢
- イベントの正規表現: ([z0-9]. * CISE_Passed_Authentications (フレーム-IP アドレス = 10 \ 10 \. 130) | (フレーム IP アドレス = 10 \ 10 \. 30) |([A 座-z0-9]. * CISE_RADIUS_Accounting (フレーム IP アドレス = 10 \ 10 \. 140)))
- ユーザー名 Regex: (?<=UserName=|User-Name=)[\w-]+></=UserName=|User-Name=)[\w-]+>
- アドレス正規表現: フレーム IP アドレス = ([0-9] {1, 3} \. [0-9] {1, 3} \。[0-9]{1, 3} \。[0-9]{1, 3})
- [Ok] をクリックします。
Cisco ISE 2.1 syslog 解析プロファイルは次のよう になります。
イベントの正規表現
([z0-9]. * CISE_Passed_Authentications * フレーム-IP アドレス =. *) | ([z0-9]. * CISE_RADIUS_Accounting * フレーム-IP アドレス =. *) ユーザー名の
正規表現の
名前 = ([a 座-z0-9 \ @ \-\\/\\ \. _] +) |ユーザー名 = ([Z0-9 \ @ \\-\\/\\ \. _] +)
アドレス Regex
のフレーム IP アドレス = ([0-9] {1, 3} \. [0-9] {1, 3} \。[0-9]{1, 3} \。[0-9]{1, 3})
サーバーの監視リストに ISE サーバを追加
- デバイス > ユーザー id > ユーザーマッピングを選択します。
- [サーバーの監視] の [追加] をクリックします。
- 好きな名前と説明を付けてください。
- [タイプ] で、[Syslog 送信者] を選択します。
- ネットワークアドレスについては、Cisco ISE の IP アドレスを挿入します。
- [接続の種類] で、[UDP] を選択します。
- [フィルタ] で、[Cisco ISE] を選択します。
- [既定のドメイン名] に、netbios ドメイン名または環境に一致する情報を挿入します。
- [ コミット ] をクリックします。
今、あなたは行って良いです!PAN-OS は、Cisco ISE からユーザー id 情報を受信する必要があります。次の CLI コマンドを使用して、正常に動作していることを確認できます。
表示ユーザーサーバー-モニターの状態を
表示するユーザーの ip-ユーザー-マッピングすべてのタイプの syslog
テストユーザー id ユーザー id-syslog-解析の
尾ははい mp-ログ useridd に従ってください
参照
Syslog を使用して直接ファイアウォールに RADIUS アカウンティングを送信するように Cisco ACS を構成する
ISE を構成するユーザーログインイベントを CDA に転送するには
この情報はあなたに役立つ、またはあなたの興味や好奇心と欲望の詳細をそそっしている場合は、親指を、コメント、または下のセクションで質問を残してください。
おかげで、
マルコス武宗
@MarcosBuzo