如何对 TACACS 思科进行身份验证配置 ISE

在帕洛阿尔托网络 Firewall

1. 我们将首先在 TACACS 设备下配置+服务器配置文件 Firewall ->服务器配置文件 TACACS ->+。 请按下"添加"按钮，以便将思科详细信息添加 ISE 如下：
   
   
    
   • 您可以选择 PAP 身份 CHAP 验证协议或身份验证协议，确保 ISE 身份验证配置文件支持在上述配置中选择的配置文件。
   • 输入服务器详细信息（ip、机密和端口），然后单击"确定"。
    
2. 创建一个身份验证配置文件，指定该方法为 TACACS + 也是 TACACS 在设备下的第 1 步中创建的 + 服务器配置文件 - >设置 - >身份验证配置文件，然后单击 OK ""完成后"。
    
   
    
3. 在"设备 -- >"下创建两个管理员角色，一个用于只读，另一个用于读写，如下所示：
   
   
   
   读写角色
   
   
   只读角色
   • 您可以 UI 通过 XML /休息 API 和命令行准确指定用户可以控制或在 Web 上看到的内容。
   • 对于读写角色，一切都启用了，并添加了"超级使用者" CLI 角色，而对于仅读角色，我们禁用了一些功能，并添加了"超级阅读器"角色 CLI 。
    
4. 配置身份验证设置以使用之前在设备 --> 管理 >"下配置的身份验证配置文件，然后按框右上"齿轮"：
   
   
   
    

在思科 ISE ：

1. 在工作中心下创建>设备管理 -- >标识如下：
   
   
    
   • 根据需要添加名称、密码和任何其他属性，然后单击"保存"。
   • 在上面的快照中，我们创建了一个名为"超级管理员"的用户，该用户将具有读写角色，另一个用户也创建了"仅读"的名称，用于读取O角色。
2. 创建设备组，以区分工作中心下方的请求/响应 Firewall Panorama （ > 设备管理 -- -- >网络设备组如下：
   
   
   
   
   
   
    
   • 创建了一个名为"帕洛阿尔托网络"的组类型，有两个组 Firewall "和 Panorama "
      
3. 创建网络设备（身份验证器），在我们的情况下是帕洛阿尔托网络 Firewall / Panorama 从工作中心 - >设备管理 - >网络资源如下：
   
   
    
   • 在此步骤中，我们配置 Firewall 参数 ISE 是为了使其了解请求的来源，如果设备未配置，则 ISE 会删除请求，您还可以看到，我们包括预配置的组 Firewall ，以便以后将其用于匹配目的，此外，我们启用 TACACS 并添加了共享的秘密，确保使用配置在 firewall "
4. 在此步骤中，我们将配置 ISE 将用于匹配其授权规则请求的条件，然后为其提供正确的壳牌配置文件（授权配置文件），以配置它，转到工作中心 - >设备管理 - > Policy 元素 - >授权简单条件，如果要求具有复合条件，则您可以改为使用它。
   • 我们将在 TACACS req 检查以下快照中创建与用户名匹配的两个授权条件：
   
   
   读写用户
   
   
   只读用户
    
5. 现在，我们需要创建授权结果，一旦我们满足上述条件，思科 ISE 将提供结果（授权配置文件）中的参数，以便/ Firewall Panorama 匹配用户与之前完成的配置配置的正确角色，您可以转到工作中心 - >设备管理 - > Policy 元素 - >结果 - > TACACS 配置文件如下：
   
   
   授权配置文件只读
    
   • 我们已为管理员角色指定了供应商特定属性，并为其分配了一个值，该值实际上是在 /中配置的角色 Firewall Panorama ，有关 VSA 的更多信息，请使用下面的链接：
              pan-oshttps://docs.paloaltonetworks.com//9-0/- pan-os 管理/认证/认证类型/塔卡
    
   • 将为读写角色配置相同的授权配置文件，以便稍后使用，以便超级管理成功授权。
    
   • 为了配置应支持的允许的协议， ISE 您可以从下面的同一选项卡转到"允许协议"：
   
   
    
6. 现在，我们将创建与 Tacacs 请求属性匹配的认证和授权规则（ Policy 集）， ISE 并在此基础上提供适当的响应，您可以转到工作中心->设备管理->设备管理 Policy 集：
   
    
   
   
   
   Policy 设置
    
   
   
   
   
   
   
   
   
   
   身份验证 Policy
   
   
   
   
   授权 Policy
    

测试：

仅阅读 访问 Firewall：

GUI:

• 以只读用户登录后出现的标签页数较少。

CLI:

 

思科 ISE 日志：
 

 

•  下面的响应提供了 VSA 等于仅读访问值的"值"。

读写访问 Firewall：

GUI:

 

         CLI:

• 您现在可以清楚地看到" CLI GUI 仅读"角色和"仅读"角色之间的区别。

思科 ISE 日志：

仅阅读 访问Panorama：

GUI:

 

 

故障 排除：

• 启用在 试试时使用命令解试身份验证 进行身份验证 CLI ，结果可以在日志文件 authd 中看到 ，使用命令较少的 mp-log 身份验证， 示例可如下：

对于超级admin：

对于只读：

• 还有一件事可以做，采取Tcpdump捕获产生的实际流量，默认情况下 firewall ，使用管理界面与 TACACS 服务器通信，如果它被更改为另一个界面，那么你可以从显示器中获取数据包捕获 - >数据包捕获，否则你必须 CLI 根据以下链接在上面创建tcpdump捕获：

思科 ISE ：

1. 实时日志：
   操作 -- -- >塔卡>实时日志
2. 报告：
   操作 -- >报告 -- >设备管理 -- -- >授权/身份验证
3. 数据包捕获：
   操作 -->故障排除-->诊断工具--> TCP 转储
4. 调试日志：
   提高日志级别，从管理->系统->日志->调试日志配置调试，然后选择处理 TACACS 请求的设备，提高日志文件运行时间- AAA 调试。
   
   您可以下载整个支持捆绑包，也可以仅从操作>下载日志文件 >>下载日志，选择支持捆绑包或调试日志。