TACACSシスコに対する認証の設定方法 ISE
75280
Created On 08/07/19 14:28 PM - Last Modified 03/26/21 17:46 PM
Objective
パロアルトネットワークスは TACACS 7.0のリリースで+のサポートを開始 PAN-OS しました。 このドキュメントでは、Cisco を TACACS firewall 使用して読み取り専用および読み書きアクセス用に Palo Alto Networks で + 認証を設定する手順 ISE について説明します。 パロアルトネットワークとシスコの両方を設定する方法を説明 firewall ISE します。
Procedure
パロアルトネットワークについて Firewall
- まず、 [ デバイス -- > サーバー プロファイル -- > + で TACACS + Firewall サーバー プロファイルの構成から始めます TACACS 。 シスコの詳細を追加するには、次のように[追加]ボタンを押 ISE してください。
- 認証プロトコルを選択 PAP するか CHAP 、認証 ISE プロファイルが上記の設定で選択した認証プロファイルをサポートしていることを確認します。
- サーバーの詳細 (IP、シークレット、およびポート) を入力し、[OK] をクリックします。
- TACACS TACACS デバイス --> セットアップ --> 認証プロファイルの手順 1 で前に作成した + サーバー プロファイルとしてメソッドを指定して、認証プロファイルを作成し、 OK 完了したら " 」 をクリックします。
- [デバイス] で、次の手順に従って、読み取り専用と読み取り/書き込みの 2 つの管理者ロールを>します。
読み取り/書き込みロール
読み取り専用ロール- Web 上で制御できる内容や、ユーザーが Web 上で表示できる内容を UI XML 指定するには、/Rest API とコマンド ラインを使用します。
- 読み取り/書き込みロールの場合、すべてが有効になり、"スーパーユーザー" CLI ロールが追加されましたが、読み取り専用ロールの場合は、いくつかの機能が無効になり、 の "スーパーリーダー" ロールが追加されました CLI 。
- [デバイス -->管理 -- > 認証設定] で以前に構成した認証プロファイルを使用するように認証設定を構成し、ボックスの右上の [歯車] を押します。
シスコで ISE :
注: このドキュメントではバージョン 2.1 を使用しており、以降のバージョンは同じか、またはほとんど違いが少なく、必要に応じて Cisco ユーザ ガイドを参照してください ISE 。
注: このドキュメントでは、ローカル ストアを使用してユーザーを認証しますが、認証によって後で使用されるようにローカルにユーザーを構成 firewall します。
注: このドキュメントでは、ローカル ストアを使用してユーザーを認証しますが、認証によって後で使用されるようにローカルにユーザーを構成 firewall します。
- [ワーク センター] で 、デバイス管理の下にユーザー >を作成する --> ID は次のとおりです。
- 要件に従って必要な名前、パスワード、その他の属性を追加し、[保存]をクリックします。
- 上記のスナップショットでは、読み取り/書き込みロールを持つ "superadmin" という名前のユーザーを作成しました。 O
- [ワーク センター] の Firewall [デバイス管理] の下にある [デバイス管理 >] -- [ネットワーク デバイス グループ>] の要求/応答を区別するために、デバイス Panorama グループを作成します。
- " " と " " という 2 つのグループを持つ "パロ アルト ネットワークス " という名前のグループの種類を作成 Firewall Panorama しました。
- " " と " " という 2 つのグループを持つ "パロ アルト ネットワークス " という名前のグループの種類を作成 Firewall Panorama しました。
- この場合はパロアルトネットワーク Firewall / Panorama ワークセンターから 、次の>デバイス管理 -->ネットワークリソースであるネットワークデバイス(オーセンティケータ)を作成します。
- このステップでは、 Firewall ISE 要求のソースを認識するためにパラメータを設定し、デバイスが設定されていない場合 ISE は要求をドロップしますが、また、後で照合目的で使用するために事前設定されたグループが含まれていることを確認し Firewall 、 TACACS 共有シークレットを有効にして追加し、上に設定された同じ共有シークレットを使用することを確認 firewall します。
- このステップでは、 ISE 認証ルールの要求に一致させるために 使用する条件を設定し、正しいシェルプロファイル(承認プロファイル)を提供し、それを構成して、ワークセンター --> デバイス管理 --> Policy 要素 -->認可単純条件に移動します。
- 以下のスナップショットを確認する req 内のユーザー名に一致する 2 つの承認条件 TACACS を作成します。
読み取り/書き込みユーザー
読み取り専用ユーザー - 次に、上記の条件を満たす認証結果を作成する必要があり、 ISE Firewall Panorama シスコは、以前に行った設定に従ってユーザを正しいロールに一致させるために、結果(認可プロファイル)内でパラメータを提供し、ワーク センター Policy > > > >に移動します TACACS 。
承認プロファイル読み取り専用
- 管理者ロールのベンダー固有の属性を指定し、VSA の詳細については、 / で構成された実際のロールである値を割り当てた Firewall Panorama 後、以下のリンクを参照してください。
- スーパー管理者の成功した許可の結果として後で使用されるように、同じ許可プロファイルが読み取り/書き込みロールに設定されます。
- でサポートされる許可されたプロトコルを設定するには ISE 、以下と同じタブから許可されたプロトコルに移動できます。
- ここで Policy ISE 、Tacacs リクエスト属性を照合するために使用する認証規則と承認規則 (Set) を作成し、それらに基づいて適切な応答 > >を提供します Policy 。
Policy 設定
認証 Policy
承認 Policy
テスト:
今、私たちは両方 GUI をテストし CLI 、Accessは、また、上の Firewall レポートとの結果を表示します ISE
への読み取り専用アクセスFirewall
GUI:
- 読み取り専用ユーザーとしてログインすると、表示されるタブの数が少なくなりました。
CLI:
シスコ ISE ログ:
- 以下の応答は VSA 、読み取り専用アクセスと等しい値を持つ'sを提供しました。
読み取り/書き込みアクセス: Firewall
GUI:
CLI:
- CLI GUI 読み取り専用ロールと読み取り/書き込みロールとの違いが明確にわかります。
シスコ ISE ログ:
への読み取り専用アクセスPanorama
GUI:
CLI:
読み取り/書き込みアクセス: Panorama
GUI:
CLI:
トラブルシューティング:
注: 以下に示すように、/およびシスコの両側からいくつかの基本的なトラブルシューティング方法 PAN Firewall Panorama ISE を取り上げます。パロアルトネットワークデバイス:
- デバッグ時のコマンドデバッグ認証を使用して認証のデバッグ CLI を有効にする から、結果はコマンドless mp-log authdを使用してログファイルauthdで見ることができ、例は以下のように見ることができます:
スーパー管理者の場合:
admin@aalrefai-PAN9.0-1(アクティブ)>認証プロファイル TACACS ユーザ名 superadmin
パスワード入力 : ターゲット
vsys が指定されていない場合、ユーザ "superadmin" は共有認証プロファイルで設定されていると見なされます。
認証要求を送信する前にリストチェックを許可してください。
名前「superadmin」は、
TACACS ユーザーの「スーパー管理者」サーバー・ポートの「10.193.112.145」のサーバーに対するグループ「すべて」認証です
: 49、タイムアウト:3、 フラグ: 0
出力: 10.193.112.132
認証の試行 PAP . 認証
PAP 要求が作成されました
PAP priv_lvl=1 user=superadmin リモート アドレス=10.193.112.132
承認要求が作成され
、priv_lvl=1 user== 1 で送信された承認要求 = 1 スーパー管理者サービス=パロアルトプロトコル= firewall リモートアドレス=10.193.112.132
承認成功
VSA 返品数: 2
VSA [0]: PaloAlto-管理ロール=読み取り-書き込み
VSA [1]: - Panorama 管理者ロール=読み取り/書き込み
認証に成功しました!
ユーザー "スーパー管理者" の認証に成功しました
パスワード入力 : ターゲット
vsys が指定されていない場合、ユーザ "superadmin" は共有認証プロファイルで設定されていると見なされます。
認証要求を送信する前にリストチェックを許可してください。
名前「superadmin」は、
TACACS ユーザーの「スーパー管理者」サーバー・ポートの「10.193.112.145」のサーバーに対するグループ「すべて」認証です
: 49、タイムアウト:3、 フラグ: 0
出力: 10.193.112.132
認証の試行 PAP . 認証
PAP 要求が作成されました
PAP priv_lvl=1 user=superadmin リモート アドレス=10.193.112.132
承認要求が作成され
、priv_lvl=1 user== 1 で送信された承認要求 = 1 スーパー管理者サービス=パロアルトプロトコル= firewall リモートアドレス=10.193.112.132
承認成功
VSA 返品数: 2
VSA [0]: PaloAlto-管理ロール=読み取り-書き込み
VSA [1]: - Panorama 管理者ロール=読み取り/書き込み
認証に成功しました!
ユーザー "スーパー管理者" の認証に成功しました
読み取り専用の場合:
admin@aalrefai-PAN9.0-1(active)>認証プロファイル TACACS ユーザ名読み取り専用パスワード
入力:
ターゲットvsysが指定されていない、ユーザ"読み取り専用"は共有認証プロファイルで設定されていると仮定されます。
認証要求を送信する前にリストチェックを許可してください。
「読み取り専用」という名前は、
TACACS ユーザーの「読み取り専用」サーバーポートの「10.193.112.145」のサーバーに対するグループ「すべて」認証です:
49、タイムアウト:3、 フラグ: 0
出力: 10.193.112.132
認証の試行 PAP . 認証
PAP 要求が作成されました
PAP priv_lvl=1 user=読み取り専用リモート アドレス=10.193.112.132
承認要求が作成されました
priv_lvl=1 user== 読み取り専用サービス=パロアルトプロトコル= firewall リモートアドレス=10.193.112.132
承認成功
VSA 返品数: 2
VSA [0]: PaloAlto-Admin-Role=読み取り専用
VSA [1]: - Panorama 管理者ロール=読み取り専用
認証に成功しました!
ユーザー "読み取り専用" の認証に成功しました
入力:
ターゲットvsysが指定されていない、ユーザ"読み取り専用"は共有認証プロファイルで設定されていると仮定されます。
認証要求を送信する前にリストチェックを許可してください。
「読み取り専用」という名前は、
TACACS ユーザーの「読み取り専用」サーバーポートの「10.193.112.145」のサーバーに対するグループ「すべて」認証です:
49、タイムアウト:3、 フラグ: 0
出力: 10.193.112.132
認証の試行 PAP . 認証
PAP 要求が作成されました
PAP priv_lvl=1 user=読み取り専用リモート アドレス=10.193.112.132
承認要求が作成されました
priv_lvl=1 user== 読み取り専用サービス=パロアルトプロトコル= firewall リモートアドレス=10.193.112.132
承認成功
VSA 返品数: 2
VSA [0]: PaloAlto-Admin-Role=読み取り専用
VSA [1]: - Panorama 管理者ロール=読み取り専用
認証に成功しました!
ユーザー "読み取り専用" の認証に成功しました
- 実際に生成されたトラフィックに対して Tcpdump キャプチャを取得するもう 1 つの方法は、既定では firewall 管理インターフェイスを使用してサーバーと通信します TACACS が、別のインターフェイスに変更された場合は、モニタからパケット キャプチャを取得できます 。> パケット キャプチャを行う必要があります CLI 。
シスコ ISE :
- ライブログ:操作 --> タカックス -->ライブ ログ
- レポート:操作 --> レポート --> デバイス管理 -- >承認/認証
- パケット キャプチャ:操作 --> トラブルシューティング -->診断ツール --> TCP ダンプ
- デバッグ ログ:管理 --> システム --> ロギング --> デバッグ ログ構成からデバッグするログ レベルを上げ、要求を処理しているデバイス TACACS を選択し、ログ ファイルのランタイムを発生させる - AAA デバッグします。
サポートバンドル全体またはログファイルのみをダウンロードするには、オペレーション --> トラブルシューティング --> ダウンロードログ 、サポートバンドルを選択するか、デバッグログを選択します。