Comment configurer TACACS l’authentification contre Cisco ISE
75266
Created On 08/07/19 14:28 PM - Last Modified 03/26/21 17:46 PM
Objective
Palo Alto Networks a commencé à TACACS soutenir + avec la sortie de PAN-OS 7.0. Ce document explique les étapes de configuration TACACS + authentification sur les réseaux Palo Alto pour firewall un accès lecture-lecture et lecture à l’aide de Cisco ISE . Nous allons vous expliquer comment configurer à la fois Palo Alto Networks firewall et Cisco ISE .
Procedure
Sur Palo Alto Networks Firewall
- Nous allons commencer par configurer le TACACS profil + serveur sur Firewall l’appareil sous -- > profils serveur --> TACACS +. S’il vous plaît appuyez sur le bouton « Ajouter » afin d’ajouter les détails Cisco ISE comme ci-dessous:
- Vous pouvez choisir l’un PAP ou CHAP l’autre ou pour le protocole d’authentification, assurez-vous ISE que le profil d’authentification prend en charge celui choisi dans la configuration ci-dessus.
- Entrez les détails du serveur (ip, secret et port) puis cliquez sur « Ok ».
- Créez un profil d’authentification spécifier la méthode comme + aussi le profil + serveur qui a été créé plus tôt TACACS TACACS dans l’étape #1 sous l’appareil --> Setup --> Profil d’authentification, puis cliquez OK sur " une fois terminé.
- Créez deux rôles d’administrateur sous Périphérique -- > rôles admin, l’un pour Read-Only et l’autre pour Read-Write comme ci-dessous:
Rôle lire-écrire
Rôle read-only- Vous pouvez spécifier exactement ce que l’utilisateur peut contrôler ou voir sur le UI Web, via XML /Rest API et la ligne de commande.
- Pour read-write rôle tout est activé et « superuser » rôle pour CLI a été ajouté, tandis que pour le rôle Read-Only, nous avons désactivé certaines fonctionnalités et ajouté le rôle « superreader » pour le CLI .
- Configurez les paramètres d’authentification pour utiliser le profil d’authentification configuré précédemment sous l’appareil --> Management --> Paramètres d’authentification et appuyez sur le « Gear » en haut à droite de la boîte:
Sur Cisco ISE :
Remarque : Dans ce document, nous utilisons la version 2.1, les versions ultérieures doivent être les mêmes ou avec peu de différences, se référer au guide d’utilisation Cisco ISE si nécessaire.
Remarque : Dans ce document, nous utilisons le magasin local pour authentifier les utilisateurs, ce qui signifie que nous configurerons les utilisateurs localement pour les utiliser plus tard firewall par l’authentification, vous pouvez utiliser une autre source d’identité comme Active Directory comme magasin d’utilisateurs si nécessaire, assurez-vous de spécifier le magasin d’identité ou la séquence dans la règle d’authentification nécessaire.
Remarque : Dans ce document, nous utilisons le magasin local pour authentifier les utilisateurs, ce qui signifie que nous configurerons les utilisateurs localement pour les utiliser plus tard firewall par l’authentification, vous pouvez utiliser une autre source d’identité comme Active Directory comme magasin d’utilisateurs si nécessaire, assurez-vous de spécifier le magasin d’identité ou la séquence dans la règle d’authentification nécessaire.
- Créez des utilisateurs dans le cadre des centres de travail --> Device Administration --et-> identités ci-dessous:
- Ajoutez le nom, le mot de passe et tout autre attribut nécessaire selon les exigences, puis cliquez sur « Enregistrer ».
- Dans l’instantanéci-dessus,nous avons créé un utilisateur nommé "superadmin" qui aura le rôle Lire-Écrire, un autre utilisateur est également créé avec le nom " Lire uniquement " pour lire-Only rôle.
- Créer des groupes d’appareils afin de différencier la demande / réponse pour les centres de travail et les centres de travail Firewall Panorama sous -- > Device Administration --> Groupes d’périphériques réseau comme ci-dessous:
- Création d’un type de groupe nommé "Palo Alto Networks" avec deux groupes " et Firewall Panorama »
- Création d’un type de groupe nommé "Palo Alto Networks" avec deux groupes " et Firewall Panorama »
- Créez les périphériques réseau (authentateurs) qui, dans notre cas, sont les réseaux Palo Alto Firewall / des centres de travail Panorama --> Device Administration --> Network Resources comme ci-dessous:
- Dans cette étape, nous configurer les paramètres afin de le rendre conscient de la Firewall source de la ISE demande, si l’appareil n’a pas été configuré, puis le laisserait tomber la demande, aussi vous pouvez voir que nous ISE avons inclus le groupe préconfiguré que afin de l’utiliser plus tard Firewall à des fins de correspondance, aussi nous avons activé et TACACS ajouté le secret partagé, assurez-vous d’utiliser le même secret partagé configuré sur le firewall .
- Dans cette étape, nous allons configurer les conditions que le va utiliser afin de correspondre à la demande de ISE sa règle d’autorisation, puis lui fournir le profil Shell correcte (profil d’autorisation), pour le configurer, aller à Work Centers --> Device Administration --> Policy éléments --> Authorization Simple Conditions , si l’exigence d’avoir l’état composé alors vous pouvez l’utiliser à la place.
- Nous créerons deux conditions d’autorisation correspondant au nom d’utilisateur dans le TACACS req vérifier l’instantané ci-dessous:
Utilisateur lire-écrire
Utilisateur read-only - Maintenant, nous avons besoin de créer le résultat d’autorisation, qui une fois que nous répondons à la condition ci-dessus le Cisco fournirait des paramètres dans le résultat ISE (profil d’autorisation) afin de laisser l’utilisateur / correspondre avec le rôle correct selon la configuration effectuée précédemment, vous pouvez aller à Firewall Work Centers Panorama --> Device Administration --> Policy Elements --> Result --> TACACS Profiles ci-dessous:
Profil d’autorisation Lu uniquement
- Nous avons spécifié l’attribut spécifique du fournisseur pour le rôle admin et lui avons attribué une valeur qui est en fait le rôle configuré dans Firewall le / , pour plus Panorama d’informations sur les VSA s’il vous plaît utiliser le lien ci-dessous:
- Le même profil d’autorisation sera configuré pour le rôle Lire-Écriture afin d’être utilisé ultérieurement à la suite de l’autorisation réussie de la superadmine.
- Afin de configurer les protocoles autorisés qui doivent être pris en charge d’ici ISE là, vous pouvez passer aux protocoles autorisés à partir du même onglet que ci-dessous:
- Maintenant, nous allons créer les règles d’authentification et Policy d’autorisation (Ensemble) que le ISE va utiliser pour correspondre aux attributs de demande Tacacs et de fournir la réponse appropriée basée sur eux, vous pouvez aller à Work Centers --> Device Administration --> Device Admin Policy Sets:
Policy Ensemble
Autorisation Policy
d’authentification
Policy
difficile:
Maintenant, nous testons GUI à la fois et CLI Access, affichera également les résultats Firewall sur le et les rapports sur ISE
Accès read-only à Firewall:
GUI:
- Moins d’onglets sont apparus une fois connectés en tant qu’utilisateur lu uniquement.
CLI:
Journaux ISE Cisco:
- La réponse VSA ci-dessous a fourni aux 's une valeur égale à l’accès en lecture seule.
Lire-Écrire l’accès à Firewall:
GUI:
CLI:
- Vous pouvez clairement voir la différence maintenant entre CLI et entre les rôles GUI Read-Only et Read-Write.
Journaux ISE Cisco:
Accès read-only à Panorama:
GUI:
CLI:
Lire-Écrire l’accès à Panorama:
GUI:
CLI:
Dépannage:
Note: Nous allons couvrir quelques méthodes de dépannage de base des deux côtés de la PAN Firewall / Panorama et Cisco comme ISE ci-dessous:Appareils Palo Alto Networks :
- Activer les débogages pour l’authentification à l’aide de l’authentification de débug de commande sur debug de CLI , le résultat peut être vu dans le fichier journal authd en utilisant la commande moins mp-log authd, un exemple peut être considéré comme ci-dessous:
Pour superadmin:
admin@aalrefai-PAN9.0-1 (actif)> test authentification de profil d’utilisateur TACACS nom d’utilisateur superadmin
mot de passe Entrez mot de passe: Cible
vsys n’est pas spécifié, l’utilisateur « superadmin » est supposé être configuré avec un profil auth partagé.
Autoriser la vérification de liste avant d’envoyer une demande d’authentification...
nom « superadmin » est dans le groupe « tous »
Authentification TACACS à + serveur à '10.193.112.145' pour l’utilisateur 'superadmin' Port
serveur: 49, délai d’attente: 3, drapeau: 0
Egress: 10.193.112.132
Tentative PAP d’authentification ... demande d’authentification est créé demande
PAP
PAP d’authentification est envoyé avec priv_lvl=1 utilisateur=superadmin adresse distante=10.193.112.132 Demande
d’autorisation est créé Demande
d’autorisation envoyée avec priv_lvl <6>=1 user=superadmin service=PaloAlto protocol= firewall remote address=10.193.112.132
Authorization succeeded Number of
VSA returned: 2
VSA [0]: PaloAlto-Admin-Role=Read-Write
VSA [1]: PaloAlto- Panorama -Admin-Role=Read-Write
Authentication a réussi!
Authentification réussie pour l’utilisateur « superadmin »
mot de passe Entrez mot de passe: Cible
vsys n’est pas spécifié, l’utilisateur « superadmin » est supposé être configuré avec un profil auth partagé.
Autoriser la vérification de liste avant d’envoyer une demande d’authentification...
nom « superadmin » est dans le groupe « tous »
Authentification TACACS à + serveur à '10.193.112.145' pour l’utilisateur 'superadmin' Port
serveur: 49, délai d’attente: 3, drapeau: 0
Egress: 10.193.112.132
Tentative PAP d’authentification ... demande d’authentification est créé demande
PAP
PAP d’authentification est envoyé avec priv_lvl=1 utilisateur=superadmin adresse distante=10.193.112.132 Demande
d’autorisation est créé Demande
d’autorisation envoyée avec priv_lvl <6>=1 user=superadmin service=PaloAlto protocol= firewall remote address=10.193.112.132
Authorization succeeded Number of
VSA returned: 2
VSA [0]: PaloAlto-Admin-Role=Read-Write
VSA [1]: PaloAlto- Panorama -Admin-Role=Read-Write
Authentication a réussi!
Authentification réussie pour l’utilisateur « superadmin »
Pour lire uniquement:
admin@aalrefai-PAN9.0-1 (actif)> test authentification-profil d’utilisateur Nom d’utilisateur Mot de passe TACACS Lire uniquement
Entrez mot de passe : Les
vsys cibles ne sont pas spécifiés, l’utilisateur « Lire uniquement » est supposé être configuré avec un profil d’auth partagé.
Autoriser la vérification de liste avant d’envoyer une demande d’authentification...
nom « Read-only » est dans le groupe « tous »
TACACS Authentification à + serveur au '10.193.112.145' pour l’utilisateur 'Read-only'
Port serveur: 49, délai d’attente: 3, drapeau: 0
Egress: 10.193.112.132
Tentative PAP d’authentification ... demande d’authentification est créé demande
PAP
PAP d’authentification est envoyé avec priv_lvl=1 utilisateur=Adresse à distance read-only=10.193.112.132 Demande
d’autorisation est créé Demande
d’autorisation envoyée avec priv_lvl <9>=1 user=Read-only service=PaloAlto protocol= firewall remote address=10.193.112.132
Authorization succeeded Number of
VSA returned: 2
VSA [0]: PaloAlto-Admin-Role=Read-only
VSA [1]: PaloAlto- Panorama -Admin-Role=Read-only
Authentication a réussi!
L’authentification a réussi pour l’utilisateur « Read-only »
Entrez mot de passe : Les
vsys cibles ne sont pas spécifiés, l’utilisateur « Lire uniquement » est supposé être configuré avec un profil d’auth partagé.
Autoriser la vérification de liste avant d’envoyer une demande d’authentification...
nom « Read-only » est dans le groupe « tous »
TACACS Authentification à + serveur au '10.193.112.145' pour l’utilisateur 'Read-only'
Port serveur: 49, délai d’attente: 3, drapeau: 0
Egress: 10.193.112.132
Tentative PAP d’authentification ... demande d’authentification est créé demande
PAP
PAP d’authentification est envoyé avec priv_lvl=1 utilisateur=Adresse à distance read-only=10.193.112.132 Demande
d’autorisation est créé Demande
d’autorisation envoyée avec priv_lvl <9>=1 user=Read-only service=PaloAlto protocol= firewall remote address=10.193.112.132
Authorization succeeded Number of
VSA returned: 2
VSA [0]: PaloAlto-Admin-Role=Read-only
VSA [1]: PaloAlto- Panorama -Admin-Role=Read-only
Authentication a réussi!
L’authentification a réussi pour l’utilisateur « Read-only »
- Une autre chose peut être fait qui prend captures Tcpdump pour le trafic réel généré , par défaut les firewall utilisations de l’interface de gestion pour communiquer avec TACACS le serveur, si elle est changée à une autre interface, alors vous pouvez prendre des captures de paquets à partir du moniteur - captures de paquets > , sinon vous devez créer des captures tcpdump sur CLI le tel que le lien ci-dessous:
Cisco ISE :
- Journaux en direct:Opérations --> Tacacs --> journaux en direct
- Rapports:Opérations --rapports > --Administration des appareils > --Autorisation d'> /Authentification
- Captures de paquets :Opérations --> Dépannage --> outils diagnostiques --> TCP Dump
- Journaux de débogage:Augmentez le niveau de journal pour débobug de l’administration --système > --> Journalisation --> Configuration de journal de debug, puis choisissez l’appareil qui TACACS traite la demande et augmentez le temps d’exécution du fichier journal - à AAA débog.
Vous pouvez télécharger l’ensemble du pack de support ou seulement le fichier journal des opérations --> Dépannage --> Télécharger des journaux, Choisir soit le pack de support, soit les journaux Debug.