Konfigurieren der TACACS Authentifizierung für Cisco ISE
75274
Created On 08/07/19 14:28 PM - Last Modified 03/26/21 17:46 PM
Objective
Palo Alto Networks hat begonnen, TACACS + mit der Veröffentlichung von PAN-OS 7.0 zu unterstützen. In diesem Dokument werden die Schritte zum Konfigurieren TACACS + der Authentifizierung in den Palo Alto-Netzwerken firewall für schreibgeschützten und Schreib- und Schreibzugriff mit Cisco ISE erläutert. Wir erklären, wie Sie palo Alto Networks firewall und Cisco ISE konfigurieren.
Procedure
Auf Palo Alto Networks Firewall
- Wir beginnen mit der Konfiguration des TACACS + Serverprofils auf der Firewall unter Device --> Server Profiles --> TACACS +. Bitte drücken Sie die Schaltfläche "Hinzufügen", um die ISE Cisco-Details wie folgt hinzuzufügen:
- Sie können entweder PAP oder CHAP für das Authentifizierungsprotokoll wählen, stellen Sie sicher, dass das ISE Authentifizierungsprofil das in der obigen Konfiguration gewählte unterstützt.
- Geben Sie die Serverdetails (ip, secret und port) ein und klicken Sie dann auf "Ok".
- Erstellen Sie ein Authentifizierungsprofil, das die Methode als + auch das +-Serverprofil angibt, TACACS das zuvor in Schritt 1 unter Device TACACS --> Setup --> Authentifizierungsprofil erstellt wurde, und klicken Sie dann auf " OK " einmal fertig.
- Erstellen Sie zwei Administratorrollen unter Gerät -- > Admin-Rollen, eine für Read-Only und die andere für Read-Write wie folgt:
Lese-Schreib-Rolle
Nur Lese-Only-Rolle- Sie können genau angeben, was der Benutzer im Web steuern oder sehen UI kann, über XML /Rest API und die Befehlszeile.
- Für die Read-Write-Rolle ist alles aktiviert und die Rolle "Superuser" CLI wurde hinzugefügt, während wir für die Read-Only-Rolle einige Funktionen deaktiviert und die Rolle "superreader" für die hinzugefügt CLI haben.
- Konfigurieren Sie die Authentifizierungseinstellungen so, dass das zuvor unter Device --> Management konfigurierte Authentifizierungsprofil verwendet wird - > Authentifizierungseinstellungen und drücken Sie die "Gear" oben rechts im Feld:
Zu Cisco ISE :
Hinweis: In diesem Dokument verwenden wir Version 2.1, spätere Versionen sollten identisch sein oder mit wenigen Unterschieden, siehe ISE Cisco-Benutzerhandbuch, falls erforderlich.
Hinweis: In diesem Dokument verwenden wir den lokalen Speicher, um Benutzer zu authentifizieren, d. h., wir konfigurieren Benutzer lokal für die spätere Verwendung durch die firewall Authentifizierung, Sie können bei Bedarf eine andere Identitätsquelle wie Active Directory als Benutzerspeicher verwenden, um den Identitätsspeicher oder die Sequenz in der erforderlichen Authentifizierungsregel anzugeben.
Hinweis: In diesem Dokument verwenden wir den lokalen Speicher, um Benutzer zu authentifizieren, d. h., wir konfigurieren Benutzer lokal für die spätere Verwendung durch die firewall Authentifizierung, Sie können bei Bedarf eine andere Identitätsquelle wie Active Directory als Benutzerspeicher verwenden, um den Identitätsspeicher oder die Sequenz in der erforderlichen Authentifizierungsregel anzugeben.
- Erstellen Sie Benutzer unter Ressourcen --> Geräteadministration --> Identitäten wie folgt:
- Fügen Sie den Namen, das Kennwort und alle anderen Attribute hinzu, die gemäß den Anforderungen benötigt werden, und klicken Sie dann auf "Speichern".
- In dem obigen Schnappschuss haben wir einen Benutzer namens "superadmin" erstellt, der die Read-Write-Rolle haben wird, ein anderer Benutzer wird auch mit dem Namen "Read-only" für Read-Only-Rolle erstellt.
- Erstellen Sie Gerätegruppen, um die Anforderung/Antwort für die Firewall und die unter Ressourcen Panorama --> Geräteadministration --> Netzwerkgerätegruppen wie folgt zu unterscheiden:
- Erstellte einen Gruppentyp mit dem Namen "Palo Alto Networks" mit zwei Gruppen " Firewall und " Panorama "
- Erstellte einen Gruppentyp mit dem Namen "Palo Alto Networks" mit zwei Gruppen " Firewall und " Panorama "
- Erstellen Sie die Netzwerkgeräte (Authenticators), die in unserem Fall die Palo Alto Networks Firewall / von Work Centers sind Panorama --> Device Administration --> Netzwerkressourcen wie folgt:
- In diesem Schritt konfigurieren wir die Firewall Parameter, ISE um sie über die Quelle der Anforderung zu sensibilisieren, wenn das Gerät nicht konfiguriert wurde, dann würde die die Anforderung ISE löschen, auch können Sie sehen, dass wir die vorkonfigurierte Gruppe aufgenommen haben, da wir sie später für Firewall Matching-Zwecke verwenden können, auch wir aktiviert und den gemeinsamen geheimen Schlüssel TACACS hinzugefügt haben, stellen Sie sicher, dass Sie den gleichen gemeinsamen geheimen Schlüssel verwenden, der auf der konfiguriert firewall ist.
- In diesem Schritt konfigurieren wir die Bedingungen, die der ISE verwendet, um der Anforderung für die Autorisierungsregel zu entsprechen, und geben ihr dann das richtige Shell-Profil (Autorisierungsprofil) an, um es zu konfigurieren, gehen Sie zu Work Centers --> Device Administration --> Policy Elements --> Authorization Simple Conditions , wenn die Anforderung, zusammengesetzte Bedingung zu haben, dann können Sie es stattdessen verwenden.
- Wir erstellen zwei Autorisierungsbedingungen, die dem Benutzernamen entsprechen, innerhalb der TACACS wiederholung überprüfen Sie die folgende Momentaufnahme:
Lese-/Schreibbenutzer
Schreibgeschützter Benutzer - Jetzt müssen wir ein Autorisierungsergebnis erstellen, das, sobald wir die oben genannte Bedingung erfüllen, die Cisco ISE Parameter innerhalb des Ergebnisses (Autorisierungsprofil) bereitstellen würde, um den Firewall Benutzer mit der richtigen Rolle gemäß der zuvor durchgeführten Konfiguration übereinstimmen zu Panorama lassen, können Sie zu Work Centers --> Device Administration --> Policy Elements --> Result --> TACACS Profiles wie folgt gehen:
Berechtigungsprofil schreibgeschützt
- Wir haben das herstellerspezifische Attribut für die Admin-Rolle angegeben und ihm einen Wert zugewiesen, der eigentlich die in der / konfigurierte Rolle Firewall Panorama ist, für weitere Informationen über die VSAs verwenden Sie bitte den folgenden Link:
- Das gleiche Autorisierungsprofil wird für die Read-Write-Rolle konfiguriert, um später als Ergebnis für die erfolgreiche Superadmin-Autorisierung verwendet zu werden.
- Um die zulässigen Protokolle zu konfigurieren, die bis dahin unterstützt werden sollen, ISE können Sie von der gleichen Registerkarte wie unten zu Zugelassene Protokolle wechseln:
- Jetzt erstellen wir die Authentifizierungs- und Autorisierungsregeln Policy (Set), die die ISE verwenden, um die Tacacs Request-Attribute abzugleichen und die entsprechende Antwort basierend auf ihnen bereitzustellen, können Sie zu Work Centers --> Device Administration --> Device Admin Sets : Policy
Policy Festgelegt
Policy
Authentifizierungsautorisierung Policy
hart:
Jetzt testen wir beide GUI und CLI Access, wird auch die Ergebnisse Firewall auf und die Berichte auf ISE
Schreibgeschützter Zugriff auf: Firewall
GUI:
- Weniger Registerkarten wurden angezeigt, nachdem sie als schreibgeschützter Benutzer angemeldet wurden.
CLI:
ISECisco-Protokolle:
- Die Antwort unten lieferte die mit einem Wert, der VSA dem schreibgeschützten Zugriff entspricht.
Lese-/Schreibzugriff auf: Firewall
GUI:
CLI:
- Sie können jetzt deutlich den Unterschied zwischen CLI und GUI zwischen read-Only- und Read-Write-Rollen erkennen.
ISECisco-Protokolle:
Schreibgeschützter Zugriff auf: Panorama
GUI:
CLI:
Lese-/Schreibzugriff auf: Panorama
GUI:
CLI:
Fehlerbehebung:
Hinweis: Wir behandeln einige grundlegende Fehlerbehebungsmethoden von beiden Seiten der PAN Firewall / und Cisco wie Panorama ISE folgt:Palo Alto Networks Geräte:
- Aktivieren Sie Debugs für die Authentifizierung mit dem Befehl Debug-Authentifizierung auf Debug aus , CLI das Ergebnis kann in der Protokolldatei authd mit dem Befehl weniger mp-log authd angezeigt werden, ein Beispiel kann wie folgt gesehen werden:
Für superadmin:
admin@aalrefai-PAN9.0-1(aktiv)> Testauthentifizierungs-Authentifizierungs-Profil-Benutzername TACACS superadmin-Passwort
eingeben:
Ziel-vsys ist nicht angegeben, Benutzer "superadmin" wird angenommen, dass er mit einem freigegebenen auth-Profil konfiguriert ist.
Listenprüfung zulassen, bevor Sie eine Authentifizierungsanforderung senden...
Name "superadmin" ist in Gruppe "all"
Authentifizierung an TACACS + Server bei '10.193.112.145' für Benutzer 'superadmin'
Serverport: 49, Timeout: 3, Flag: 0
Egress: 10.193.112.132
PAP Authentifizierungsversuch ...
PAP Authentifizierungsanforderung erstellt
PAP wird Authentifizierungsanforderung wird mit priv_lvl=1 user=superadmin Remote Address=10.193.112.132
Autorisierungsanforderung erstellt
Autorisierungsanforderung mit priv_lvl=1 Benutzer gesendet =superadmin service=PaloAlto protocol= firewall remote address=10.193.112.132
Autorisierung erfolgreich Anzahl der
VSA zurückgegebenen Anzahl: 2
VSA [0]: PaloAlto-Admin-Role=Read-Write
VSA [1]: PaloAlto- Panorama -Admin-Role=Read-Write
Authentication succeeded!
Authentifizierung für Benutzer "superadmin" erfolgreich
eingeben:
Ziel-vsys ist nicht angegeben, Benutzer "superadmin" wird angenommen, dass er mit einem freigegebenen auth-Profil konfiguriert ist.
Listenprüfung zulassen, bevor Sie eine Authentifizierungsanforderung senden...
Name "superadmin" ist in Gruppe "all"
Authentifizierung an TACACS + Server bei '10.193.112.145' für Benutzer 'superadmin'
Serverport: 49, Timeout: 3, Flag: 0
Egress: 10.193.112.132
PAP Authentifizierungsversuch ...
PAP Authentifizierungsanforderung erstellt
PAP wird Authentifizierungsanforderung wird mit priv_lvl=1 user=superadmin Remote Address=10.193.112.132
Autorisierungsanforderung erstellt
Autorisierungsanforderung mit priv_lvl=1 Benutzer gesendet =superadmin service=PaloAlto protocol= firewall remote address=10.193.112.132
Autorisierung erfolgreich Anzahl der
VSA zurückgegebenen Anzahl: 2
VSA [0]: PaloAlto-Admin-Role=Read-Write
VSA [1]: PaloAlto- Panorama -Admin-Role=Read-Write
Authentication succeeded!
Authentifizierung für Benutzer "superadmin" erfolgreich
Für schreibgeschützt:
admin@aalrefai-PAN9.0-1(aktiv)> Testauthentifizierungs-Authentifizierungsprofil-Kennwort TACACS Schreibkennwort
eingeben:
Ziel-vsys ist nicht angegeben, Benutzer "Read-only" wird angenommen, dass er mit einem freigegebenen auth-Profil konfiguriert ist.
Listenprüfung zulassen, bevor Sie eine Authentifizierungsanforderung senden...
Name "Read-only" ist in Gruppe "alle"
Authentifizierung an TACACS + Server bei '10.193.112.145' für Benutzer 'Read-only'
Serverport: 49, Timeout: 3, Flag: 0
Egress: 10.193.112.132
PAP Authentifizierungsversuch ...
PAP Authentifizierungsanforderung erstellt
PAP wird Authentifizierungsanforderung wird mit priv_lvl=1 user=Read-only remote address=10.193.112.132
Autorisierungsanforderung erstellt, die mit
priv_lvl=1-Benutzer gesendet wird. =Read-only service=PaloAlto protocol= firewall remote address=10.193.112.132
Autorisierung erfolgreich Anzahl der
VSA zurückgegebenen Anzahl: 2
VSA [0]: PaloAlto-Admin-Role=Read-only
VSA [1]: PaloAlto- Panorama -Admin-Role=Read-only
Authentication succeeded!
Authentifizierung für Benutzer "Read-only" erfolgreich
eingeben:
Ziel-vsys ist nicht angegeben, Benutzer "Read-only" wird angenommen, dass er mit einem freigegebenen auth-Profil konfiguriert ist.
Listenprüfung zulassen, bevor Sie eine Authentifizierungsanforderung senden...
Name "Read-only" ist in Gruppe "alle"
Authentifizierung an TACACS + Server bei '10.193.112.145' für Benutzer 'Read-only'
Serverport: 49, Timeout: 3, Flag: 0
Egress: 10.193.112.132
PAP Authentifizierungsversuch ...
PAP Authentifizierungsanforderung erstellt
PAP wird Authentifizierungsanforderung wird mit priv_lvl=1 user=Read-only remote address=10.193.112.132
Autorisierungsanforderung erstellt, die mit
priv_lvl=1-Benutzer gesendet wird. =Read-only service=PaloAlto protocol= firewall remote address=10.193.112.132
Autorisierung erfolgreich Anzahl der
VSA zurückgegebenen Anzahl: 2
VSA [0]: PaloAlto-Admin-Role=Read-only
VSA [1]: PaloAlto- Panorama -Admin-Role=Read-only
Authentication succeeded!
Authentifizierung für Benutzer "Read-only" erfolgreich
- Eine weitere Sache kann getan werden, die Einnahme von Tcpdump-Erfassungen für den tatsächlich generierten Datenverkehr, standardmäßig die firewall verwendet die Verwaltungsschnittstelle, um mit dem Server zu TACACS kommunizieren, wenn es auf eine andere Schnittstelle geändert wird, dann können Sie Paketerfassungen vom Monitor nehmen --> Paketerfassungen , sonst müssen Sie tcpdump-Aufnahmen auf dem CLI folgenden Link erstellen:
Cisco ISE :
- Live-Protokolle:Operationen --> Tacacs --> Live-Logs
- Berichte:Operationen --> Berichte --> Geräteadministration --> Autorisierung / Authentifizierung
- Paketerfassungen:Vorgänge --> Fehlerbehebung --> Diagnosetools --> TCP Dump
- Debugprotokolle:Erhöhen Sie die Protokollebene, um sie aus Administration --> System --> Logging --> Debugprotokollkonfiguration zu debuggen, wählen Sie dann das Gerät aus, das die Anforderung verarbeitet, TACACS und führen Sie die Laufzeit der Protokolldatei aus, um sie zu AAA debuggen.
Sie können das gesamte Support-Bundle oder nur die Protokolldatei von Operations --> Troubleshoot --> Download Logs herunterladen, wählen Sie entweder Support-Bundle oder Debug-Protokolle.