Cómo configurar la TACACS autenticación contra Cisco ISE
75282
Created On 08/07/19 14:28 PM - Last Modified 03/26/21 17:46 PM
Objective
Palo Alto Networks ha comenzado a apoyar TACACS + con el lanzamiento de PAN-OS 7.0. Este documento explica los pasos para configurar TACACS + autenticación en las redes palo alto para el acceso de firewall lectura-solamente y de lectura-escritura usando ISE Cisco. Explicaremos cómo configurar tanto Palo Alto Networks como firewall ISE Cisco.
Procedure
En las redes de Palo Alto Firewall
- Comenzaremos con la configuración del perfil + del TACACS servidor en el dispositivo Firewall --> perfiles de servidor --> TACACS +. Presione por favor el botón "Agregar" para agregar los detalles de Cisco ISE como abajo:
- Usted puede elegir uno PAP o para el protocolo de CHAP autenticación, aseegurese que ISE el perfil de autenticación soporta el elegido en la configuración antedida.
- Introduzca los detalles del servidor (ip, secreto y puerto) y, a continuación, haga clic en "Aceptar".
- Cree un perfil de autenticación especificando el método como TACACS + también el perfil + servidor que se creó TACACS anteriormente en el paso #1 en Dispositivo --> Configurar --> Perfil de autenticación y, a continuación, haga clic en " OK " " una vez hecho.
- Cree dos roles de administrador en Dispositivo: > roles de administrador, uno para solo lectura y otro para lectura y escritura como se indica a continuación:
Rol de lectura y escritura
Rol de solo lectura- Puede especificar exactamente lo que el usuario puede controlar o ver en web UI , a través de XML /Rest y línea de API comandos.
- Para el rol de lectura y escritura, todo está habilitado y se agregó el rol de "superusuario", CLI mientras que para el rol de solo lectura deshabilitamos algunas funcionalidades y agregamos el rol de "superreader" para el archivo CLI .
- Configure las configuraciones de autenticación para utilizar el perfil de autenticación configurado anteriormente en Device --> Management --> Authentication Settings (Configuración de autenticación de >) y presione el "Gear" en la parte superior derecha del cuadro:
En Cisco ISE :
Nota: En este documento estamos usando la versión 2.1, las versiones posteriores deben ser iguales o con pocas diferencias, refieran a la guía del usuario de Cisco ISE si es necesario.
Nota: En este documento estamos usando el almacén local para autenticar usuarios, lo que significa que configuraremos a los usuarios localmente para que los usemos más adelante mediante la firewall autenticación, puede usar otro origen de identidad como Active Directory como almacén de usuarios si es necesario, asegúrese de especificar el almacén de identidades o la secuencia en la regla de autenticación necesaria.
Nota: En este documento estamos usando el almacén local para autenticar usuarios, lo que significa que configuraremos a los usuarios localmente para que los usemos más adelante mediante la firewall autenticación, puede usar otro origen de identidad como Active Directory como almacén de usuarios si es necesario, asegúrese de especificar el almacén de identidades o la secuencia en la regla de autenticación necesaria.
- Cree usuarios en Centros de trabajo --> Administración de dispositivos --> Identidades como se muestra a continuación:
- Agregue el nombre, la contraseña y cualquier otro atributo necesario según los requisitos y, a continuación, haga clic en "Guardar".
- En la instantánea anterior creamos un usuario denominado "superadmin" que tendrá el rol de lectura y escritura, otro usuario también se crea con el nombre "Solo lectura" para el rol Read-Only.
- Cree grupos de dispositivos para diferenciar la solicitud/respuesta para los Firewall Panorama centros de trabajo --> administración de dispositivos --> grupos de dispositivos de red como se indica a continuación:
- Creó un tipo de grupo llamado "Palo Alto Networks" con dos grupos " " y " Firewall Panorama "
- Creó un tipo de grupo llamado "Palo Alto Networks" con dos grupos " " y " Firewall Panorama "
- Cree los dispositivos de red (autenticadores) que en nuestro caso son las redes palo alto Firewall / de los centros de trabajo Panorama --> administración de dispositivos --> recursos de red como se indica a continuación:
- En este paso, configuramos los Firewall parámetros para que sea consciente de la fuente de la ISE solicitud, si el dispositivo no fue configurado entonces el ISE caería la petición, también usted puede ver que incluimos el grupo preconfigurado como Firewall para usarlo más adelante para los propósitos de coincidencia, también hemos habilitado TACACS y agregado el secreto compartido, aseegurese utilizar el mismo secreto compartido configurado en el firewall .
- En este paso configuraremos las condiciones que ISE usaremos para que coincida con la solicitud de su regla de autorización y luego le proporcionaremos el perfil correcto de Shell (perfil de autorización), para configurarlo, ir a centros de trabajo --> administración de dispositivos --> Policy elementos --> condiciones simples de autorización, si el requisito de tener condición compuesta entonces usted puede usarlo en su lugar.
- Crearemos dos condiciones de autorización que coincidan con el nombre de usuario dentro de la TACACS comprobación de req la siguiente instantánea:
Usuario de lectura y escritura
Usuario de solo lectura - Ahora necesitamos crear el resultado de la autorización, que una vez que cumplamos con la condición anterior Cisco ISE proporcionaría los parámetros dentro del resultado (perfil de la autorización) para dejar que el Firewall / hacer juego al usuario con el papel correcto según la configuración hecha Panorama antes, usted puede ir a los centros de trabajo --> administración del dispositivo --> Policy los elementos --> resultado --> TACACS perfiles como abajo:
Perfil de autorización de solo lectura
- Hemos especificado el atributo específico del proveedor para el rol admin y le hemos asignado un valor que es realmente el rol configurado en el Firewall / , para más información sobre los Panorama VSAs por favor utilice el siguiente enlace:
- El mismo perfil de la autorización será configurado para el papel de lectura y escritura para ser utilizado más adelante como resultado para la autorización satisfactoria del superadmin.
- Para configurar los protocolos permitidos que deben ser soportados por ISE entonces usted puede ir a los protocolos permitidos de la misma lengueta que abajo:
- Ahora crearemos las reglas de autenticación y autorización Policy (Set) que ISE usaremos para que coincidan con los atributos de la solicitud tacacs y proporcionaremos la respuesta apropiada basada en ellos, usted puede ir a los centros de trabajo --> administración del dispositivo --> conjuntos de administración del Policy dispositivo:
Policy Establecer
Policy
Autorización de autenticación Policy
Pruebas:
Ahora probamos ambos GUI y CLI Access, también veremos los resultados en el Firewall y los informes sobre ISE
Acceso de solo lectura a: Firewall
GUI:
- Un número menor de pestañas aparecían una vez que iniciamos sesión como usuario de solo lectura.
CLI:
ISERegistros de Cisco:
- La respuesta siguiente proporcionó a los VSA 's un valor igual al acceso de solo lectura.
Acceso de lectura y escritura a Firewall:
GUI:
CLI:
- Puede ver claramente la diferencia ahora desde CLI y entre los roles de solo lectura y lectura y GUI escritura.
Registros ISE de Cisco:
Acceso de solo lectura a: Panorama
GUI:
CLI:
Acceso de lectura y escritura a Panorama:
GUI:
CLI:
Solución de problemas:
Nota: Cubriremos algunos métodos básicos de Troubleshooting de ambos lados del PAN Firewall / y Cisco como Panorama ISE abajo:Dispositivos Palo Alto Networks:
- Habilite los debugs para la autenticación usando la autenticación del debug del comando en el debug de CLI , el resultado se puede ver en el archivo de registro authd usando el comando less mp-log authd, un ejemplo se puede ver como abajo:
Parasuperadmin:
admin@aalrefai-PAN9.0-1(active)> contraseña de superadministrador de nombre de usuario del perfil de autenticación de prueba TACACS
Ingrese contraseña: No se especifica el
vsys de destino, se supone que el usuario "superadmin" se configura con un perfil de autenticación compartido.
Permita la comprobación de lista antes de enviar la solicitud de autenticación...
nombre "superadmin" está en el grupo "todo"
Autenticación a + servidor en TACACS '10.193.112.145' para el usuario 'superadmin'
Puerto del servidor: 49, tiempo de espera: 3, bandera: 0
Salida: 10.193.112.132
Intentar autenticación ... solicitud de autenticación se crea solicitud de autenticación se envía con PAP
PAP
PAP priv_lvl=1 user=superadmin remote address=10.193.112.132
Solicitud de autorización se crea Solicitud de autorización enviada con
priv_lvl=1 user=superadmin service=Protocolo PaloAlto= firewall dirección remota=10.193.112.132 Autorización correcta Número de
VSA devuelto: 2
VSA [0]: PaloAlto-Admin-Role=Read-Write
VSA [1]: PaloAlto- Panorama -Admin-Role=Read-Write
Authentication succeeded!
La autenticación se realizó correctamente para el usuario "superadmin"
Ingrese contraseña: No se especifica el
vsys de destino, se supone que el usuario "superadmin" se configura con un perfil de autenticación compartido.
Permita la comprobación de lista antes de enviar la solicitud de autenticación...
nombre "superadmin" está en el grupo "todo"
Autenticación a + servidor en TACACS '10.193.112.145' para el usuario 'superadmin'
Puerto del servidor: 49, tiempo de espera: 3, bandera: 0
Salida: 10.193.112.132
Intentar autenticación ... solicitud de autenticación se crea solicitud de autenticación se envía con PAP
PAP
PAP priv_lvl=1 user=superadmin remote address=10.193.112.132
Solicitud de autorización se crea Solicitud de autorización enviada con
priv_lvl=1 user=superadmin service=Protocolo PaloAlto= firewall dirección remota=10.193.112.132 Autorización correcta Número de
VSA devuelto: 2
VSA [0]: PaloAlto-Admin-Role=Read-Write
VSA [1]: PaloAlto- Panorama -Admin-Role=Read-Write
Authentication succeeded!
La autenticación se realizó correctamente para el usuario "superadmin"
Para solo lectura:
admin@aalrefai-PAN9.0-1(active)> nombre de usuario del perfil de autenticación de prueba TACACS Contraseña de solo lectura Escriba la
contraseña: No se especifica el
vsys de destino, se supone que el usuario "Solo lectura" se configura con un perfil de autenticación compartido.
Permita la comprobación de lista antes de enviar la solicitud de autenticación...
nombre "Solo lectura" está en el grupo "todo"
Autenticación a + servidor en TACACS '10.193.112.145' para el usuario 'Solo lectura'
Puerto del servidor: 49, tiempo de espera: 3, bandera: 0
Salida: 10.193.112.132
Intentar autenticación ... solicitud de autenticación se crea solicitud de autenticación se envía con PAP
PAP
PAP priv_lvl=1 usuario =Dirección remota de solo lectura = 10.193.112.132
Solicitud de autorización se crea solicitud de autorización enviada con
priv_lvl=1 usuario=Servicio de solo lectura=Protocolo PaloAlto= firewall dirección remota=10.193.112.132 Autorización correcta Número de
VSA devuelto: 2
VSA [0]: PaloAlto-Admin-Role=Read-only
VSA [1]: PaloAlto- Panorama -Admin-Role=Read-only
Authentication succeeded!
La autenticación se realizó correctamente para el usuario "Solo lectura"
contraseña: No se especifica el
vsys de destino, se supone que el usuario "Solo lectura" se configura con un perfil de autenticación compartido.
Permita la comprobación de lista antes de enviar la solicitud de autenticación...
nombre "Solo lectura" está en el grupo "todo"
Autenticación a + servidor en TACACS '10.193.112.145' para el usuario 'Solo lectura'
Puerto del servidor: 49, tiempo de espera: 3, bandera: 0
Salida: 10.193.112.132
Intentar autenticación ... solicitud de autenticación se crea solicitud de autenticación se envía con PAP
PAP
PAP priv_lvl=1 usuario =Dirección remota de solo lectura = 10.193.112.132
Solicitud de autorización se crea solicitud de autorización enviada con
priv_lvl=1 usuario=Servicio de solo lectura=Protocolo PaloAlto= firewall dirección remota=10.193.112.132 Autorización correcta Número de
VSA devuelto: 2
VSA [0]: PaloAlto-Admin-Role=Read-only
VSA [1]: PaloAlto- Panorama -Admin-Role=Read-only
Authentication succeeded!
La autenticación se realizó correctamente para el usuario "Solo lectura"
- Una cosa más se puede hacer que tomar tcpdump capturas para el tráfico real generado , por abandono los firewall usos de la interfaz de administración para comunicarse con el TACACS servidor, si se cambia a otra interfaz entonces usted puede tomar las capturas de paquetes del monitor --> capturas de paquetes, de lo contrario usted tiene que crear las capturas tcpdump en el CLI según el link abajo:
Cisco ISE :
- Registros en vivo:Operaciones --> Tacacs --> registros en vivo
- Informes:Operaciones --> Informes --> Administración de dispositivos --> Autorización / Autenticación
- Capturas de paquetes:Operaciones --> Solucionar problemas --> Herramientas de diagnóstico TCP --volcado >
- Registros de depuración:Aumente el nivel de registro para depurar desde Administración --> Sistema --> Registro --> Configuración de registro de depuración y, a continuación, elija el dispositivo que procesa la TACACS solicitud y aumente el tiempo de ejecución del archivo de registro- AAA para depurar.
Puede descargar todo el paquete de soporte o solo el archivo de registro de Operations --> Solucionar problemas --> Descargar registros , Elegir paquete de soporte o Registros de depuración.