如何对 TACACS 思科进行身份验证配置 ISE
75268
Created On 08/07/19 14:28 PM - Last Modified 03/26/21 17:46 PM
Objective
帕洛阿尔托网络已经开始支持 TACACS +与 PAN-OS 7.0的版本。 本文档解释了 TACACS 使用思科在 Palo Alto 网络上配置+身份验证 firewall 以进行仅读和读写访问的步骤 ISE 。 我们将解释如何配置帕洛阿尔托网络 firewall 和思科 ISE 。
Procedure
在帕洛阿尔托网络 Firewall
- 我们将首先在 TACACS 设备下配置+服务器配置文件 Firewall ->服务器配置文件 TACACS ->+。 请按下"添加"按钮,以便将思科详细信息添加 ISE 如下:
- 您可以选择 PAP 身份 CHAP 验证协议或身份验证协议,确保 ISE 身份验证配置文件支持在上述配置中选择的配置文件。
- 输入服务器详细信息(ip、机密和端口),然后单击"确定"。
- 创建一个身份验证配置文件,指定该方法为 TACACS + 也是 TACACS 在设备下的第 1 步中创建的 + 服务器配置文件 - >设置 - >身份验证配置文件,然后单击 OK ""完成后"。
- 在"设备 -- >"下创建两个管理员角色,一个用于只读,另一个用于读写,如下所示:
读写角色
只读角色- 您可以 UI 通过 XML /休息 API 和命令行准确指定用户可以控制或在 Web 上看到的内容。
- 对于读写角色,一切都启用了,并添加了"超级使用者" CLI 角色,而对于仅读角色,我们禁用了一些功能,并添加了"超级阅读器"角色 CLI 。
- 配置身份验证设置以使用之前在设备 --> 管理 >"下配置的身份验证配置文件,然后按框右上"齿轮":
在思科 ISE :
注意:在此文档中,我们使用的版本 2.1,后期版本应相同或几乎没有差异,如果需要,请参阅思科 ISE 用户指南。
注意:在本文档中,我们使用本地商店对用户进行身份验证,这意味着我们将在本地配置用户,以便稍后通过 firewall 身份验证使用,如果需要,您可以使用另一个身份来源(如活动目录)作为用户存储,确保在必要的身份验证规则中指定身份存储或序列。
注意:在本文档中,我们使用本地商店对用户进行身份验证,这意味着我们将在本地配置用户,以便稍后通过 firewall 身份验证使用,如果需要,您可以使用另一个身份来源(如活动目录)作为用户存储,确保在必要的身份验证规则中指定身份存储或序列。
- 在工作中心下创建>设备管理 -- >标识如下:
- 根据需要添加名称、密码和任何其他属性,然后单击"保存"。
- 在上面的快照中,我们创建了一个名为"超级管理员"的用户,该用户将具有读写角色,另一个用户也创建了"仅读"的名称,用于读取O角色。
- 创建设备组,以区分工作中心下方的请求/响应 Firewall Panorama ( > 设备管理 -- -- >网络设备组如下:
- 创建了一个名为"帕洛阿尔托网络"的组类型,有两个组 Firewall "和 Panorama "
- 创建了一个名为"帕洛阿尔托网络"的组类型,有两个组 Firewall "和 Panorama "
- 创建网络设备(身份验证器),在我们的情况下是帕洛阿尔托网络 Firewall / Panorama 从工作中心 - >设备管理 - >网络资源如下:
- 在此步骤中,我们配置 Firewall 参数 ISE 是为了使其了解请求的来源,如果设备未配置,则 ISE 会删除请求,您还可以看到,我们包括预配置的组 Firewall ,以便以后将其用于匹配目的,此外,我们启用 TACACS 并添加了共享的秘密,确保使用配置在 firewall "
- 在此步骤中,我们将配置 ISE 将用于匹配其授权规则请求的条件,然后为其提供正确的壳牌配置文件(授权配置文件),以配置它,转到工作中心 - >设备管理 - > Policy 元素 - >授权简单条件,如果要求具有复合条件,则您可以改为使用它。
- 我们将在 TACACS req 检查以下快照中创建与用户名匹配的两个授权条件:
读写用户
只读用户 - 现在,我们需要创建授权结果,一旦我们满足上述条件,思科 ISE 将提供结果(授权配置文件)中的参数,以便/ Firewall Panorama 匹配用户与之前完成的配置配置的正确角色,您可以转到工作中心 - >设备管理 - > Policy 元素 - >结果 - > TACACS 配置文件如下:
授权配置文件只读
- 我们已为管理员角色指定了供应商特定属性,并为其分配了一个值,该值实际上是在 /中配置的角色 Firewall Panorama ,有关 VSA 的更多信息,请使用下面的链接:
- 将为读写角色配置相同的授权配置文件,以便稍后使用,以便超级管理成功授权。
- 为了配置应支持的允许的协议, ISE 您可以从下面的同一选项卡转到"允许协议":
- 现在,我们将创建与 Tacacs 请求属性匹配的认证和授权规则( Policy 集), ISE 并在此基础上提供适当的响应,您可以转到工作中心->设备管理->设备管理 Policy 集:
Policy 设置
身份验证 Policy
授权 Policy
测试:
现在我们测试 GUI 和 CLI 访问,也将查看结果和 Firewall 报告上 ISE
仅阅读 访问 Firewall:
GUI:
- 以只读用户登录后出现的标签页数较少。
CLI:
思科 ISE 日志:
- 下面的响应提供了 VSA 等于仅读访问值的"值"。
读写访问 Firewall:
GUI:
CLI:
- 您现在可以清楚地看到" CLI GUI 仅读"角色和"仅读"角色之间的区别。
思科 ISE 日志:
仅阅读 访问Panorama:
GUI:
CLI:
读写访问Panorama:
GUI:
CLI:
故障 排除:
注意:我们将涵盖以下来自 PAN Firewall / Panorama 和思科双方的一些基本故障排除方法 ISE :帕洛阿尔托网络设备:
- 启用在 试试时使用命令解试身份验证 进行身份验证 CLI ,结果可以在日志文件 authd 中看到 ,使用命令较少的 mp-log 身份验证, 示例可如下:
对于超级admin:
admin@aalrefai-PAN9.0-1(活动)>测试身份认证配置文件 TACACS 用户名超管理员密码
输入密码:
目标vsys未指定,用户"超级管理员"假定配置为共享身份验证配置文件。
在发送身份验证请求之前,请允许列表检查。。。
名称"超级管理员"是在组"所有"
身份验证 TACACS 到+服务器在'10.193.112.145'为用户"超级管理员"
服务器端口:49,超时:3, 标志: 0
出口: 10.193.112.132
尝试 PAP 身份验证
PAP priv_lvl
PAP priv_lvl...
1 用户=超级管理服务=PaloAlto 协议= firewall 远程地址=10.193.112.132
授权成功
VSA 返回数量: 2
VSA [0]: 帕洛阿托-行政角色=读写
VSA [1]: 帕洛阿托 Panorama -管理员角色 = 读写
身份验证成功!
用户"超级管理员"身份验证成功
输入密码:
目标vsys未指定,用户"超级管理员"假定配置为共享身份验证配置文件。
在发送身份验证请求之前,请允许列表检查。。。
名称"超级管理员"是在组"所有"
身份验证 TACACS 到+服务器在'10.193.112.145'为用户"超级管理员"
服务器端口:49,超时:3, 标志: 0
出口: 10.193.112.132
尝试 PAP 身份验证
PAP priv_lvl
PAP priv_lvl...
1 用户=超级管理服务=PaloAlto 协议= firewall 远程地址=10.193.112.132
授权成功
VSA 返回数量: 2
VSA [0]: 帕洛阿托-行政角色=读写
VSA [1]: 帕洛阿托 Panorama -管理员角色 = 读写
身份验证成功!
用户"超级管理员"身份验证成功
对于只读:
admin@aalrefai-PAN9.0-1(活动)>测试身份验证-配置文件 TACACS 用户名仅读密码
输入密码:
目标与yys未指定,用户"仅读"假定配置为共享身份验证配置文件。
在发送身份验证请求之前,请允许列表检查。。。
名称"仅读"在组"所有"
身份验证到 TACACS +服务器在'10.193.112.145'为用户"仅读"
服务器端口:49,超时:3, 标志: 0
出口: 10.193.112.132
尝试 PAP 身份验证
PAP priv_lvl
PAP priv_lvl...
1 用户=仅读服务=PaloAlto 协议= firewall 远程地址=10.193.112.132
授权成功
VSA 返回数量: 2
VSA [0]: 帕洛阿托-管理角色=仅读
VSA [1]: 帕洛阿托 - Panorama 管理员角色 = 仅读
身份验证成功!
用户"仅读"身份验证成功
输入密码:
目标与yys未指定,用户"仅读"假定配置为共享身份验证配置文件。
在发送身份验证请求之前,请允许列表检查。。。
名称"仅读"在组"所有"
身份验证到 TACACS +服务器在'10.193.112.145'为用户"仅读"
服务器端口:49,超时:3, 标志: 0
出口: 10.193.112.132
尝试 PAP 身份验证
PAP priv_lvl
PAP priv_lvl...
1 用户=仅读服务=PaloAlto 协议= firewall 远程地址=10.193.112.132
授权成功
VSA 返回数量: 2
VSA [0]: 帕洛阿托-管理角色=仅读
VSA [1]: 帕洛阿托 - Panorama 管理员角色 = 仅读
身份验证成功!
用户"仅读"身份验证成功
- 还有一件事可以做,采取Tcpdump捕获产生的实际流量,默认情况下 firewall ,使用管理界面与 TACACS 服务器通信,如果它被更改为另一个界面,那么你可以从显示器中获取数据包捕获 - >数据包捕获,否则你必须 CLI 根据以下链接在上面创建tcpdump捕获:
思科 ISE :
- 实时日志:操作 -- -- >塔卡>实时日志
- 报告:操作 -- >报告 -- >设备管理 -- -- >授权/身份验证
- 数据包捕获:操作 -->故障排除-->诊断工具--> TCP 转储
- 调试日志:提高日志级别,从管理->系统->日志->调试日志配置调试,然后选择处理 TACACS 请求的设备,提高日志文件运行时间- AAA 调试。
您可以下载整个支持捆绑包,也可以仅从操作>下载日志文件 >>下载日志,选择支持捆绑包或调试日志。