将思科的客户身份验证与 PAN 操作系统集成在一起

将思科的客户身份验证与 PAN 操作系统集成在一起

118755
Created On 09/26/18 21:04 PM - Last Modified 05/31/23 18:41 PM


Resolution


由马科斯 Buzo (现场社区用户名: @MarcosBuzo)

 

本文档介绍如何配置 Cisco 伊势, 将用户 id 信息发送到 PAN OS。

该方案部署在 Cisco 势 1.4. 0-253 和 PAN OS 6.1 和7.0。 


在这里描述的场景中, 用户 id 与活动目录的集成已经在工作, 所以, 想法是只收集用户 id 的访客信息从思科伊势。只需在正则表达式中移除/更改子网, 即可更改此行为。

 

思科伊势作为 RADIUS 服务器, 用于对网络上的用户进行身份验证和授权。我们将向泛型操作系统转发 RADIUS 身份验证记帐日志.

-
详情

 

在 Cisco 伊势上配置新的远程日志目标时, 此设备将是 PAN OS:

  • 选择管理 > 系统 > 记录 > 远程记录目标。
  • 单击 "添加"。
  • 给它一个你喜欢的名字, 对于目标类型, 选择 UDP 日志。对于 ip 地址, 请填写 PAN-0S 管理接口 IP 地址。
  • 单击提交。

 

Picture1.png

如果要将用户 id 日志信息发送到其他设备, 请重复下面的步骤。

 

将伊势配置为转发通过的身份验证日志消息

  • 选择管理 > 系统 > 日志记录类别。
  • 单击 "通过身份验证"。
  • 选择在 "可用" 列之前创建的远程日志目标, 然后单击 ">>" 符号将其移动到 "选定" 列。
  • 单击保存。

Picture2.png

 

将伊势配置为转发 RADIUS 记帐日志消息

  • 选择管理 > 系统 > 日志记录类别。
  • 单击 RADIUS 记帐。
  • 选择在 "可用" 列之前创建的远程日志目标, 然后单击 ">>" 符号将其移动到 "选定" 列。
  • 单击保存。

 

Picture3.png

 

在泛型操作系统上启用用户 ID 系统日志侦听器 UDP

  • 选择设备 >> 安装程序 > 管理界面设置。
  • 检查用户 ID 日志侦听器-UDP 框。
  • 单击确定。

Picture4.png

 

创建一个日志分析配置文件以匹配有关日志消息的有趣信息

  • 选择设备 > 用户标识 > 用户映射。
  • 编辑帕洛阿尔托网络用户 ID 代理设置并单击系统日志过滤器。
  • 单击 "添加"。
  • 根据下面的信息填写所有字段。

 

这是一个棘手的部分-无线设备, 思科伊势只发送身份验证日志和有线设备的用户 id 信息 , 思科伊势发送会计日志上的用户 id 信息.


在本例中, 我们有:

 

  • 10.10.130.0/24 = 无线来宾
  • 10.10.30.0/24 = 无线来宾
  • 10.10.140.0/24 = 有线来宾

因此, 根据您的需要调整下面的事件 regex。

 

  • 日志分析配置文件: 思科伊势
  • 事件 regex: ([z0-9]. * (CISE_Passed_Authentications) * (框架 IP 地址 = 10 \. 10 \ 130) | (框架-IP 地址 = 10 \ 10 \ 30)] |(z0-9) * CISE_RADIUS_Accounting * (框架-IP 地址 = 10 \. 10 \ 140)))
  • 用户名 Regex: (?<=UserName=|User-Name=)[\w-]+></=UserName=|User-Name=)[\w-]+>
  • 地址 Regex: 框架 IP 地址 = ([0-9] {13} \. [0-9] {13} \。[0-9]{13} \。[0-9]{13}) 
  • 单击确定。

Picture6.png

 

Cisco 势2.1 日志分析配置文件应如下所描述: 

事件正
则表达式 ([z0-9]. * CISE_Passed_Authentications * 框架-IP 地址 =. *) | ([z0-9]. * CISE_RADIUS_Accounting * 框式 IP 地址 =. *) 用户名

Regex
用户名 = ([a-杂 z0-9 \ @ \ \ \ _] +) |用户名 = ("Z0-9")

地址 Regex
框架-IP 地址 = ([0-9] {13} \. [0-9] {13} \。[0-9]{13} \。[0-9]{13})

 

将伊势服务器添加到服务器监视列表中

  • 选择设备 > 用户标识 > 用户映射。
  • 在 "服务器监视" 下, 单击 "添加"。
  • 给它一个名字和你喜欢的描述。
  • 对于 "类型", 选择 "日志发送者"。
  • 对于网络地址, 插入您的思科伊势 IP 地址。
  • 对于连接类型, 选择 UDP。
  • 对于过滤器, 选择思科伊势。
  • 对于默认域名, 插入您的 netbios 域名或与您的环境相匹配的信息。
  • 单击 "提交"。

Picture7.png

 

 

现在你可以走了!您的 PAN OS 应该接收来自思科伊势的用户 id 信息。可以使用以下 CLI 命令验证其工作正常:

 

显示用户服务器-监视状态
显示用户 ip-用户映射所有类型的 SYSLOG
测试用户 id 用户 id-日志-分析
尾部跟随是 mp 记录 useridd.log

 

引用


配置 Cisco ACS 以将 RADIUS 记帐直接发送到防火墙使用日志
配置 "伊势" 将用户登录事件转发给 CDA

 

如果这些信息对您有帮助, 或激起您的兴趣或好奇心, 并希望了解更多, 请在下面的部分中留下大拇指、评论或问题。

 

谢谢你,

马科斯 Buzo

@MarcosBuzo

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm5sCAC&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language