Tag: aaa

LAB – ISE jako radius dla PaloAlto dla kont Admina

Posted on 10 maja, 2016 in Cisco, Lab, Palo Alto

Po dłuższej przerwie wróciłem do integracji Cisco ISE 2.0 z Palo Alto Networks wykorzystując Radiusa z ISE jako punkt uwierzytelniania kont administracyjnych. Wiem, że zapewne większość autoryzacji kont administracyjnych opiera się o LDAP oraz AD. Natomiast ja jak zawszę muszę kombinować i komplikować scenariusze do labowania, ale dzięki takiemu podejściu jestem w stanie bardziej poznać oba systemy.

Konfiguracja ISE

przechodzimy do Policy –> Policy Elements –> Dictationaries wybieramy system –> radius —RADIUS Vendors. Tutaj będzie nam pomocny link– gdzie mamy opisane atrybuty.
klikamy add

Dictionary Name: PaloAlto – nasza nazwa
Vendor ID: 25461

klikamy submit

przechodzimy do nowo utworzonego profilu po czym przechodzimy do Dictionary Attributes. Klikamy add
zgodnie z dokumentacją PaloAlto. W tej chwili będzie nam potrzebny jeden atrybut

Attribute Name: PaloAlto-Admin-Role
Data Type: String
Direction: Both
ID: 1
W kroku kolejnym tworzymy profil dla urządzań typu PaloAlto. Przechodzimy do Administration –> Network Resources –> Network Device Profiles klikamy Add

Dodajemy nasze urządzenie do ISE, przechodzimy do Administration –> Network Resources –> Network Devices klikamy Add

Podajemy dane:
Name: nazwę dla naszego urządzenia
IP Address: podajemy adres ip, z którego nasze urządzenie będzie się komunikowało z serwerem ISE
Device Profile: wybieramy nasz profil dla urządzeń Palo
Device Type: ja stworzyłem oddzielne repo dla urządzęń tego typu
Location: również podzieliłem na lokalizację
Wybieramy: RADIUS Authentication Settings
w polu Shared Secret wpisujemy nasze hasło, które będzie wykorzystywane do połączenia PALO do ISE

Wybieramy grupę AD, w której będą użytkownicy mogący zalogować się na Palo

Przechodzimy do Administration –> Indetity Management –> External Identity Soures, wybieramy Active Direcory oraz nasz punkt spięcia z naszym AD. Tam wybieramy Groups, dodajemy Add z menu Select Dictionary Groups po czym otworzy się okno, w którym możemy wyszukać naszą grupę dodając ją do ISE.

Tworzymy profil dozwolonych protokołów komunikacji PALO ISE, przechodzimy do Policy –> Policy Elements –> Results –> Authentication –> Allowed Protocols, klikamy Add

Tworzymy profil autoryzacyjny, przechodzimy do Policy –> Policy Elements –> Results –> Authorization –> Authoriztion Profiles, kliamy Add

w polu Advanced Attributes Settings wybieramy z menu PaloAlto –> PaloAlto-Admin-Role, w polu obok wpisujemy nazwę naszego profilu z Palo, który później zostanie skonfigurowany na Palo.

W polu Attributes Details mamy taki wynik:


Access Type = ACCESS_ACCEPT
PaloAlto-Admin-Role = admin-radius

Access Type = ACCESS_ACCEPT

PaloAlto-Admin-Role = admin-radius

przechodzimy do utworzenia reguły autoryzacyjnej, gdzie idziemy do Polcy –> Authorization

dodajemy nową rulę gdzie:
Rule Name: nasza nazwa reguły
warunki:
If ANY and ISE-SRV:memberOf maches CN=PA-admin-full,CN=Users,DC=safekom,DC=pl
and DEVICE:Device Type Equals Device Type#All Device Types#Palo
then Palo-auth

Konfiguracja Palo

Prszyszedł czas na konfigurację naszego Palo. Po zalogowaniu się przechodzimy do Device –> Server Profiles –> Radius, dodajemy nowy profil z ISE

gdzie:

Profil Name: nasz profil Radiusa

w polu servers dodajemy nasze serwery radiusa (w mym przypadku jest to jeden serwer)

Name: nasza nazwa rozpoznawcza

RADIUS Server: adres IP lub FQDN naszego radiusa

Secret: nasze ustawione hasło

Port: Standardowo 1812

CLI


set shared server-profile radius ISE server ISE01 secret -AQ==gPzxJUAM1wLKKOPC5tJg+lHyn0A=aloUXPMeEZ6yM/xJpgEVLA==
set shared server-profile radius ISE server ISE01 port 1812
set shared server-profile radius ISE server ISE01 ip-address 192.168.1.55

set shared server-profile radius ISE server ISE01 secret -AQ==gPzxJUAM1wLKKOPC5tJg+lHyn0A=aloUXPMeEZ6yM/xJpgEVLA==

set shared server-profile radius ISE server ISE01 port 1812

set shared server-profile radius ISE server ISE01 ip-address 192.168.1.55

Tworzymy profil Admin Roles – dzięki temu profilowi możliwe będzie zalogowanie się użytkownika z odpowiednimi uprawnieniami.

W tym miejscu ważne jest aby nazwa profilu była taka sama jak zdefiniowaliśmy ją na serwerze ISE admin-radius

Cli


set shared admin-role admin-radius role device cli superuser
set shared admin-role admin-radius role device webui dashboard enable
set shared admin-role admin-radius role device webui acc enable
set shared admin-role admin-radius role device webui monitor logs traffic enable
set shared admin-role admin-radius role device webui monitor logs threat enable
set shared admin-role admin-radius role device webui monitor logs url enable
set shared admin-role admin-radius role device webui monitor logs wildfire enable
set shared admin-role admin-radius role device webui monitor logs data-filtering enable
set shared admin-role admin-radius role device webui monitor logs hipmatch enable
set shared admin-role admin-radius role device webui monitor logs configuration enable
set shared admin-role admin-radius role device webui monitor logs system enable
set shared admin-role admin-radius role device webui monitor logs alarm enable
set shared admin-role admin-radius role device webui monitor automated-correlation-engine correlation-objects enable
set shared admin-role admin-radius role device webui monitor automated-correlation-engine correlated-events enable
set shared admin-role admin-radius role device webui monitor packet-capture enable
set shared admin-role admin-radius role device webui monitor app-scope enable
set shared admin-role admin-radius role device webui monitor session-browser enable
set shared admin-role admin-radius role device webui monitor botnet enable
set shared admin-role admin-radius role device webui monitor pdf-reports manage-pdf-summary enable
set shared admin-role admin-radius role device webui monitor pdf-reports pdf-summary-reports enable
set shared admin-role admin-radius role device webui monitor pdf-reports user-activity-report enable
set shared admin-role admin-radius role device webui monitor pdf-reports saas-application-usage-report enable
set shared admin-role admin-radius role device webui monitor pdf-reports report-groups enable
set shared admin-role admin-radius role device webui monitor pdf-reports email-scheduler enable
set shared admin-role admin-radius role device webui monitor custom-reports application-statistics enable
set shared admin-role admin-radius role device webui monitor custom-reports data-filtering-log enable
set shared admin-role admin-radius role device webui monitor custom-reports threat-log enable
set shared admin-role admin-radius role device webui monitor custom-reports threat-summary enable
set shared admin-role admin-radius role device webui monitor custom-reports traffic-log enable
set shared admin-role admin-radius role device webui monitor custom-reports traffic-summary enable
set shared admin-role admin-radius role device webui monitor custom-reports url-log enable
set shared admin-role admin-radius role device webui monitor custom-reports url-summary enable
set shared admin-role admin-radius role device webui monitor custom-reports hipmatch enable
set shared admin-role admin-radius role device webui monitor custom-reports wildfire-log enable
set shared admin-role admin-radius role device webui monitor view-custom-reports enable
set shared admin-role admin-radius role device webui monitor application-reports enable
set shared admin-role admin-radius role device webui monitor threat-reports enable
set shared admin-role admin-radius role device webui monitor url-filtering-reports enable
set shared admin-role admin-radius role device webui monitor traffic-reports enable
set shared admin-role admin-radius role device webui policies security-rulebase enable
set shared admin-role admin-radius role device webui policies nat-rulebase enable
set shared admin-role admin-radius role device webui policies qos-rulebase enable
set shared admin-role admin-radius role device webui policies pbf-rulebase enable
set shared admin-role admin-radius role device webui policies ssl-decryption-rulebase enable
set shared admin-role admin-radius role device webui policies application-override-rulebase enable
set shared admin-role admin-radius role device webui policies captive-portal-rulebase enable
set shared admin-role admin-radius role device webui policies dos-rulebase enable
set shared admin-role admin-radius role device webui objects addresses enable
set shared admin-role admin-radius role device webui objects address-groups enable
set shared admin-role admin-radius role device webui objects regions enable
set shared admin-role admin-radius role device webui objects applications enable
set shared admin-role admin-radius role device webui objects application-groups enable
set shared admin-role admin-radius role device webui objects application-filters enable
set shared admin-role admin-radius role device webui objects services enable
set shared admin-role admin-radius role device webui objects service-groups enable
set shared admin-role admin-radius role device webui objects tags enable
set shared admin-role admin-radius role device webui objects global-protect hip-objects enable
set shared admin-role admin-radius role device webui objects global-protect hip-profiles enable
set shared admin-role admin-radius role device webui objects dynamic-block-lists enable
set shared admin-role admin-radius role device webui objects custom-objects data-patterns enable
set shared admin-role admin-radius role device webui objects custom-objects spyware enable
set shared admin-role admin-radius role device webui objects custom-objects vulnerability enable
set shared admin-role admin-radius role device webui objects custom-objects url-category enable
set shared admin-role admin-radius role device webui objects security-profiles antivirus enable
set shared admin-role admin-radius role device webui objects security-profiles anti-spyware enable
set shared admin-role admin-radius role device webui objects security-profiles vulnerability-protection enable
set shared admin-role admin-radius role device webui objects security-profiles url-filtering enable
set shared admin-role admin-radius role device webui objects security-profiles file-blocking enable
set shared admin-role admin-radius role device webui objects security-profiles wildfire-analysis enable
set shared admin-role admin-radius role device webui objects security-profiles data-filtering enable
set shared admin-role admin-radius role device webui objects security-profiles dos-protection enable
set shared admin-role admin-radius role device webui objects security-profile-groups enable
set shared admin-role admin-radius role device webui objects log-forwarding enable
set shared admin-role admin-radius role device webui objects decryption-profile enable
set shared admin-role admin-radius role device webui objects schedules enable
set shared admin-role admin-radius role device webui network interfaces enable
set shared admin-role admin-radius role device webui network zones enable
set shared admin-role admin-radius role device webui network vlans enable
set shared admin-role admin-radius role device webui network virtual-wires enable
set shared admin-role admin-radius role device webui network virtual-routers enable
set shared admin-role admin-radius role device webui network ipsec-tunnels enable
set shared admin-role admin-radius role device webui network dhcp enable
set shared admin-role admin-radius role device webui network dns-proxy enable
set shared admin-role admin-radius role device webui network global-protect portals enable
set shared admin-role admin-radius role device webui network global-protect gateways enable
set shared admin-role admin-radius role device webui network global-protect mdm enable
set shared admin-role admin-radius role device webui network global-protect device-block-list enable
set shared admin-role admin-radius role device webui network qos enable
set shared admin-role admin-radius role device webui network lldp enable
set shared admin-role admin-radius role device webui network network-profiles gp-app-ipsec-crypto enable
set shared admin-role admin-radius role device webui network network-profiles ike-gateways enable
set shared admin-role admin-radius role device webui network network-profiles ipsec-crypto enable
set shared admin-role admin-radius role device webui network network-profiles ike-crypto enable
set shared admin-role admin-radius role device webui network network-profiles tunnel-monitor enable
set shared admin-role admin-radius role device webui network network-profiles interface-mgmt enable
set shared admin-role admin-radius role device webui network network-profiles zone-protection enable
set shared admin-role admin-radius role device webui network network-profiles qos-profile enable
set shared admin-role admin-radius role device webui network network-profiles lldp-profile enable
set shared admin-role admin-radius role device webui network network-profiles bfd-profile enable
set shared admin-role admin-radius role device webui device setup management enable
set shared admin-role admin-radius role device webui device setup operations enable
set shared admin-role admin-radius role device webui device setup services enable
set shared admin-role admin-radius role device webui device setup content-id enable
set shared admin-role admin-radius role device webui device setup wildfire enable
set shared admin-role admin-radius role device webui device setup session enable
set shared admin-role admin-radius role device webui device setup hsm enable
set shared admin-role admin-radius role device webui device high-availability enable
set shared admin-role admin-radius role device webui device config-audit enable
set shared admin-role admin-radius role device webui device administrators read-only
set shared admin-role admin-radius role device webui device admin-roles read-only
set shared admin-role admin-radius role device webui device authentication-profile enable
set shared admin-role admin-radius role device webui device authentication-sequence enable
set shared admin-role admin-radius role device webui device user-identification enable
set shared admin-role admin-radius role device webui device vm-info-source enable
set shared admin-role admin-radius role device webui device certificate-management certificates enable
set shared admin-role admin-radius role device webui device certificate-management certificate-profile enable
set shared admin-role admin-radius role device webui device certificate-management ocsp-responder enable
set shared admin-role admin-radius role device webui device certificate-management ssl-tls-service-profile enable
set shared admin-role admin-radius role device webui device certificate-management scep enable
set shared admin-role admin-radius role device webui device block-pages enable
set shared admin-role admin-radius role device webui device log-settings system enable
set shared admin-role admin-radius role device webui device log-settings config enable
set shared admin-role admin-radius role device webui device log-settings hipmatch enable
set shared admin-role admin-radius role device webui device log-settings cc-alarm enable
set shared admin-role admin-radius role device webui device log-settings manage-log enable
set shared admin-role admin-radius role device webui device server-profile snmp-trap enable
set shared admin-role admin-radius role device webui device server-profile syslog enable
set shared admin-role admin-radius role device webui device server-profile email enable
set shared admin-role admin-radius role device webui device server-profile netflow enable
set shared admin-role admin-radius role device webui device server-profile radius enable
set shared admin-role admin-radius role device webui device server-profile tacplus enable
set shared admin-role admin-radius role device webui device server-profile ldap enable
set shared admin-role admin-radius role device webui device server-profile kerberos enable
set shared admin-role admin-radius role device webui device local-user-database users enable
set shared admin-role admin-radius role device webui device local-user-database user-groups enable
set shared admin-role admin-radius role device webui device scheduled-log-export enable
set shared admin-role admin-radius role device webui device software enable
set shared admin-role admin-radius role device webui device global-protect-client enable
set shared admin-role admin-radius role device webui device dynamic-updates enable
set shared admin-role admin-radius role device webui device licenses enable
set shared admin-role admin-radius role device webui device support enable
set shared admin-role admin-radius role device webui device master-key enable
set shared admin-role admin-radius role device webui privacy show-full-ip-addresses enable
set shared admin-role admin-radius role device webui privacy show-user-names-in-logs-and-reports enable
set shared admin-role admin-radius role device webui privacy view-pcap-files enable
set shared admin-role admin-radius role device webui validate enable
set shared admin-role admin-radius role device webui commit enable
set shared admin-role admin-radius role device webui global system-alarms enable
set shared admin-role admin-radius role device xmlapi report enable
set shared admin-role admin-radius role device xmlapi log enable
set shared admin-role admin-radius role device xmlapi config enable
set shared admin-role admin-radius role device xmlapi op enable
set shared admin-role admin-radius role device xmlapi commit enable
set shared admin-role admin-radius role device xmlapi user-id enable
set shared admin-role admin-radius role device xmlapi export enable
set shared admin-role admin-radius role device xmlapi import enable

100

101

102

103

104

105

106

107

108

109

110

111

112

113

114

115

116

117

118

119

120

121

122

123

124

125

126

127

128

129

130

131

132

133

134

135

136

137

138

139

140

141

142

143

144

145

146

147

148

149

150

151

152

153

154

155

156

157

158

set shared admin-role admin-radius role device cli superuser

set shared admin-role admin-radius role device webui dashboard enable

set shared admin-role admin-radius role device webui acc enable

set shared admin-role admin-radius role device webui monitor logs traffic enable

set shared admin-role admin-radius role device webui monitor logs threat enable

set shared admin-role admin-radius role device webui monitor logs url enable

set shared admin-role admin-radius role device webui monitor logs wildfire enable

set shared admin-role admin-radius role device webui monitor logs data-filtering enable

set shared admin-role admin-radius role device webui monitor logs hipmatch enable

set shared admin-role admin-radius role device webui monitor logs configuration enable

set shared admin-role admin-radius role device webui monitor logs system enable

set shared admin-role admin-radius role device webui monitor logs alarm enable

set shared admin-role admin-radius role device webui monitor automated-correlation-engine correlation-objects enable

set shared admin-role admin-radius role device webui monitor automated-correlation-engine correlated-events enable

set shared admin-role admin-radius role device webui monitor packet-capture enable

set shared admin-role admin-radius role device webui monitor app-scope enable

set shared admin-role admin-radius role device webui monitor session-browser enable

set shared admin-role admin-radius role device webui monitor botnet enable

set shared admin-role admin-radius role device webui monitor pdf-reports manage-pdf-summary enable

set shared admin-role admin-radius role device webui monitor pdf-reports pdf-summary-reports enable

set shared admin-role admin-radius role device webui monitor pdf-reports user-activity-report enable

set shared admin-role admin-radius role device webui monitor pdf-reports saas-application-usage-report enable

set shared admin-role admin-radius role device webui monitor pdf-reports report-groups enable

set shared admin-role admin-radius role device webui monitor pdf-reports email-scheduler enable

set shared admin-role admin-radius role device webui monitor custom-reports application-statistics enable

set shared admin-role admin-radius role device webui monitor custom-reports data-filtering-log enable

set shared admin-role admin-radius role device webui monitor custom-reports threat-log enable

set shared admin-role admin-radius role device webui monitor custom-reports threat-summary enable

set shared admin-role admin-radius role device webui monitor custom-reports traffic-log enable

set shared admin-role admin-radius role device webui monitor custom-reports traffic-summary enable

set shared admin-role admin-radius role device webui monitor custom-reports url-log enable

set shared admin-role admin-radius role device webui monitor custom-reports url-summary enable

set shared admin-role admin-radius role device webui monitor custom-reports hipmatch enable

set shared admin-role admin-radius role device webui monitor custom-reports wildfire-log enable

set shared admin-role admin-radius role device webui monitor view-custom-reports enable

set shared admin-role admin-radius role device webui monitor application-reports enable

set shared admin-role admin-radius role device webui monitor threat-reports enable

set shared admin-role admin-radius role device webui monitor url-filtering-reports enable

set shared admin-role admin-radius role device webui monitor traffic-reports enable

set shared admin-role admin-radius role device webui policies security-rulebase enable

set shared admin-role admin-radius role device webui policies nat-rulebase enable

set shared admin-role admin-radius role device webui policies qos-rulebase enable

set shared admin-role admin-radius role device webui policies pbf-rulebase enable

set shared admin-role admin-radius role device webui policies ssl-decryption-rulebase enable

set shared admin-role admin-radius role device webui policies application-override-rulebase enable

set shared admin-role admin-radius role device webui policies captive-portal-rulebase enable

set shared admin-role admin-radius role device webui policies dos-rulebase enable

set shared admin-role admin-radius role device webui objects addresses enable

set shared admin-role admin-radius role device webui objects address-groups enable

set shared admin-role admin-radius role device webui objects regions enable

set shared admin-role admin-radius role device webui objects applications enable

set shared admin-role admin-radius role device webui objects application-groups enable

set shared admin-role admin-radius role device webui objects application-filters enable

set shared admin-role admin-radius role device webui objects services enable

set shared admin-role admin-radius role device webui objects service-groups enable

set shared admin-role admin-radius role device webui objects tags enable

set shared admin-role admin-radius role device webui objects global-protect hip-objects enable

set shared admin-role admin-radius role device webui objects global-protect hip-profiles enable

set shared admin-role admin-radius role device webui objects dynamic-block-lists enable

set shared admin-role admin-radius role device webui objects custom-objects data-patterns enable

set shared admin-role admin-radius role device webui objects custom-objects spyware enable

set shared admin-role admin-radius role device webui objects custom-objects vulnerability enable

set shared admin-role admin-radius role device webui objects custom-objects url-category enable

set shared admin-role admin-radius role device webui objects security-profiles antivirus enable

set shared admin-role admin-radius role device webui objects security-profiles anti-spyware enable

set shared admin-role admin-radius role device webui objects security-profiles vulnerability-protection enable

set shared admin-role admin-radius role device webui objects security-profiles url-filtering enable

set shared admin-role admin-radius role device webui objects security-profiles file-blocking enable

set shared admin-role admin-radius role device webui objects security-profiles wildfire-analysis enable

set shared admin-role admin-radius role device webui objects security-profiles data-filtering enable

set shared admin-role admin-radius role device webui objects security-profiles dos-protection enable

set shared admin-role admin-radius role device webui objects security-profile-groups enable

set shared admin-role admin-radius role device webui objects log-forwarding enable

set shared admin-role admin-radius role device webui objects decryption-profile enable

set shared admin-role admin-radius role device webui objects schedules enable

set shared admin-role admin-radius role device webui network interfaces enable

set shared admin-role admin-radius role device webui network zones enable

set shared admin-role admin-radius role device webui network vlans enable

set shared admin-role admin-radius role device webui network virtual-wires enable

set shared admin-role admin-radius role device webui network virtual-routers enable

set shared admin-role admin-radius role device webui network ipsec-tunnels enable

set shared admin-role admin-radius role device webui network dhcp enable

set shared admin-role admin-radius role device webui network dns-proxy enable

set shared admin-role admin-radius role device webui network global-protect portals enable

set shared admin-role admin-radius role device webui network global-protect gateways enable

set shared admin-role admin-radius role device webui network global-protect mdm enable

set shared admin-role admin-radius role device webui network global-protect device-block-list enable

set shared admin-role admin-radius role device webui network qos enable

set shared admin-role admin-radius role device webui network lldp enable

set shared admin-role admin-radius role device webui network network-profiles gp-app-ipsec-crypto enable

set shared admin-role admin-radius role device webui network network-profiles ike-gateways enable

set shared admin-role admin-radius role device webui network network-profiles ipsec-crypto enable

set shared admin-role admin-radius role device webui network network-profiles ike-crypto enable

set shared admin-role admin-radius role device webui network network-profiles tunnel-monitor enable

set shared admin-role admin-radius role device webui network network-profiles interface-mgmt enable

set shared admin-role admin-radius role device webui network network-profiles zone-protection enable

set shared admin-role admin-radius role device webui network network-profiles qos-profile enable

set shared admin-role admin-radius role device webui network network-profiles lldp-profile enable

set shared admin-role admin-radius role device webui network network-profiles bfd-profile enable

set shared admin-role admin-radius role device webui device setup management enable

set shared admin-role admin-radius role device webui device setup operations enable

set shared admin-role admin-radius role device webui device setup services enable

set shared admin-role admin-radius role device webui device setup content-id enable

set shared admin-role admin-radius role device webui device setup wildfire enable

set shared admin-role admin-radius role device webui device setup session enable

set shared admin-role admin-radius role device webui device setup hsm enable

set shared admin-role admin-radius role device webui device high-availability enable

set shared admin-role admin-radius role device webui device config-audit enable

set shared admin-role admin-radius role device webui device administrators read-only

set shared admin-role admin-radius role device webui device admin-roles read-only

set shared admin-role admin-radius role device webui device authentication-profile enable

set shared admin-role admin-radius role device webui device authentication-sequence enable

set shared admin-role admin-radius role device webui device user-identification enable

set shared admin-role admin-radius role device webui device vm-info-source enable

set shared admin-role admin-radius role device webui device certificate-management certificates enable

set shared admin-role admin-radius role device webui device certificate-management certificate-profile enable

set shared admin-role admin-radius role device webui device certificate-management ocsp-responder enable

set shared admin-role admin-radius role device webui device certificate-management ssl-tls-service-profile enable

set shared admin-role admin-radius role device webui device certificate-management scep enable

set shared admin-role admin-radius role device webui device block-pages enable

set shared admin-role admin-radius role device webui device log-settings system enable

set shared admin-role admin-radius role device webui device log-settings config enable

set shared admin-role admin-radius role device webui device log-settings hipmatch enable

set shared admin-role admin-radius role device webui device log-settings cc-alarm enable

set shared admin-role admin-radius role device webui device log-settings manage-log enable

set shared admin-role admin-radius role device webui device server-profile snmp-trap enable

set shared admin-role admin-radius role device webui device server-profile syslog enable

set shared admin-role admin-radius role device webui device server-profile email enable

set shared admin-role admin-radius role device webui device server-profile netflow enable

set shared admin-role admin-radius role device webui device server-profile radius enable

set shared admin-role admin-radius role device webui device server-profile tacplus enable

set shared admin-role admin-radius role device webui device server-profile ldap enable

set shared admin-role admin-radius role device webui device server-profile kerberos enable

set shared admin-role admin-radius role device webui device local-user-database users enable

set shared admin-role admin-radius role device webui device local-user-database user-groups enable

set shared admin-role admin-radius role device webui device scheduled-log-export enable

set shared admin-role admin-radius role device webui device software enable

set shared admin-role admin-radius role device webui device global-protect-client enable

set shared admin-role admin-radius role device webui device dynamic-updates enable

set shared admin-role admin-radius role device webui device licenses enable

set shared admin-role admin-radius role device webui device support enable

set shared admin-role admin-radius role device webui device master-key enable

set shared admin-role admin-radius role device webui privacy show-full-ip-addresses enable

set shared admin-role admin-radius role device webui privacy show-user-names-in-logs-and-reports enable

set shared admin-role admin-radius role device webui privacy view-pcap-files enable

set shared admin-role admin-radius role device webui validate enable

set shared admin-role admin-radius role device webui commit enable

set shared admin-role admin-radius role device webui global system-alarms enable

set shared admin-role admin-radius role device xmlapi report enable

set shared admin-role admin-radius role device xmlapi log enable

set shared admin-role admin-radius role device xmlapi config enable

set shared admin-role admin-radius role device xmlapi op enable

set shared admin-role admin-radius role device xmlapi commit enable

set shared admin-role admin-radius role device xmlapi user-id enable

set shared admin-role admin-radius role device xmlapi export enable

set shared admin-role admin-radius role device xmlapi import enable

Tworzymy profil dla Authentication Profile, gdzie będziemy wykorzystywać nasz profil dla ISE:

w Type wybieramy RADIUS
Server Profile wybieramy nasz profil ISE
W Advanced
w Allow List dajemy all

Cli


set shared authentication-profile ISE method radius server-profile ISE
set shared authentication-profile ISE allow-list all
set shared authentication-profile ISE lockout lockout-time 1
set shared authentication-profile ISE lockout failed-attempts 5

set shared authentication-profile ISE method radius server-profile ISE

set shared authentication-profile ISE allow-list all

set shared authentication-profile ISE lockout lockout-time 1

set shared authentication-profile ISE lockout failed-attempts 5

Po wykonaniu commitu próbujemy zalogować się do urządzenia po ssh

w logach PA widzimy:

Web

wyszukujemy po:


( object eq auth )

( object eq auth )

lub jak niżej na screenie:


( eventid eq auth-success )

( eventid eq auth-success )

Jak chcemy wyszukać błędne autoryzacje stosujemy filtr:


( eventid eq auth-fail )

( eventid eq auth-fail )

CLI


michal-adminpa@PA-VM> show log system eventid equal auth-success
Time                Severity Subtype Object EventID ID Description
===============================================================================
2016/05/10 13:00:16 info     general auth   auth-su 0  authenticated for user 'michal-adminpa'.   auth profile 'auth', vsys 'shared', server profile
 'ISE', server address '192.168.1.55', From: 192.168.1.10.

michal-adminpa@PA-VM> show log system eventid equal auth-success

Time Severity Subtype Object EventID ID Description

===============================================================================

2016/05/10 13:00:16 info general auth auth-su 0 authenticated for user 'michal-adminpa'. auth profile 'auth', vsys 'shared', server profile

'ISE', server address '192.168.1.55', From: 192.168.1.10.

Taki użytkownik nie może dodawać kont lokalnych i modyfikować ich oraz dodawać/modyfkować Admin Rulses tak jak widać niżej pola add oraz delete mam wyszarzane:

Aby umożliwić dostęp na pełnych prawach musimy utworzyć konto Administratora:

gdzie Name jest naszym userem, który jest w Radiusie.

CLI


set mgt-config users michal permissions role-based superuser yes
set mgt-config users michal authentication-profile ISE

set mgt-config users michal permissions role-based superuser yes

set mgt-config users michal authentication-profile ISE

Po takim zabiegu mamy konto z full uprawnieniami, zalogowany administrator już może modyfikować Admin Roles

Poprzednie wpisy dotyczące ISE:

Tags: 25461, aaa, admin, admin-role, authentication-profile, Cisco ISE 2.0, Dictionary, ISE, Palo Alto Networks, PaloAlto, Radius, server-profile, user, Vendor ID: 25461

ASAv – pierwsze uruchomienie w labie

Posted on 6 marca, 2016 in Cisco, Lab

Dzięki uprzejmości człowieka z Cisco Polska dostałem dostęp do Cisco ASA w wersji wirtualnej. Postanowiłem ją odpalić w labie. Poniżej przedstawię krok po kroku jak to zrobić.

Ściągamy nasze pliki maszyny.
Rozpakowujemy plik zip
Importujemy naszą wirtualną maszynę do Workstation

wybieramy wersję dla esxi:

nadajemy nazwę dla maszyny oraz lokalizację gdzie będzie przetrzymywana maszyna.

akceptujemy regulamin:

po zaimportowaniu sprawdzamy wersję oraz sprawdzamy licencję:


ciscoasa# show ver

Cisco Adaptive Security Appliance Software Version 9.5(2)203 
Device Manager Version 7.5(2)

Compiled on Wed 27-Jan-16 13:47 PST by builders
System image file is "boot:/asa952-203-smp-k8.bin"
Config file at boot was "startup-config"

ciscoasa up 18 mins 41 secs

Hardware:   ASAv, 1024 MB RAM, CPU Xeon 5500 series 2494 MHz,
Model Id:   ASAv5
Internal ATA Compact Flash, 512MB
Slot 1: ATA Compact Flash, 8192MB
BIOS Flash Firmware Hub @ 0x0, 0KB


 0: Ext: Management0/0       : address is 000c.2927.c98d, irq 10
 1: Ext: GigabitEthernet0/0  : address is 000c.2927.c997, irq 5
 2: Ext: GigabitEthernet0/1  : address is 000c.2927.c9a1, irq 9
 3: Ext: GigabitEthernet0/2  : address is 000c.2927.c9ab, irq 11
 4: Ext: GigabitEthernet0/3  : address is 000c.2927.c9b5, irq 10
 5: Ext: GigabitEthernet0/4  : address is 000c.2927.c9bf, irq 5
 6: Ext: GigabitEthernet0/5  : address is 000c.2927.c9c9, irq 9
 7: Ext: GigabitEthernet0/6  : address is 000c.2927.c9d3, irq 11
 8: Ext: GigabitEthernet0/7  : address is 000c.2927.c9dd, irq 10
 9: Ext: GigabitEthernet0/8  : address is 000c.2927.c9e7, irq 5

License mode: Smart Licensing
ASAv Platform License State: Unlicensed
No active entitlement: no feature tier and no throughput level configured
*Memory resource allocation is more than the permitted limit.

Licensed features for this platform:
Maximum Physical Interfaces       : 10             
Maximum VLANs                     : 25             
Inside Hosts                      : Unlimited      
Failover                          : Active/Standby 
Encryption-DES                    : Enabled        
Encryption-3DES-AES               : Enabled        
Security Contexts                 : 0              
Carrier                           : Disabled       
AnyConnect Premium Peers          : 2              
AnyConnect Essentials             : Disabled       
Other VPN Peers                   : 50             
Total VPN Peers                   : 50             
AnyConnect for Mobile             : Disabled       
AnyConnect for Cisco VPN Phone    : Disabled       
Advanced Endpoint Assessment      : Disabled       
Shared License                    : Disabled       
Total UC Proxy Sessions           : 2              
Botnet Traffic Filter             : Enabled        
Cluster                           : Disabled       

Serial Number: 9AT6U3XC6HH

Image type          : Release
Key version         : A

ciscoasa# show ver

Cisco Adaptive Security Appliance Software Version 9.5(2)203

Device Manager Version 7.5(2)

Compiled on Wed 27-Jan-16 13:47 PST by builders

System image file is "boot:/asa952-203-smp-k8.bin"

Config file at boot was "startup-config"

ciscoasa up 18 mins 41 secs

Hardware: ASAv, 1024 MB RAM, CPU Xeon 5500 series 2494 MHz,

Model Id: ASAv5

Internal ATA Compact Flash, 512MB

Slot 1: ATA Compact Flash, 8192MB

BIOS Flash Firmware Hub @ 0x0, 0KB

0: Ext: Management0/0 : address is 000c.2927.c98d, irq 10

1: Ext: GigabitEthernet0/0 : address is 000c.2927.c997, irq 5

2: Ext: GigabitEthernet0/1 : address is 000c.2927.c9a1, irq 9

3: Ext: GigabitEthernet0/2 : address is 000c.2927.c9ab, irq 11

4: Ext: GigabitEthernet0/3 : address is 000c.2927.c9b5, irq 10

5: Ext: GigabitEthernet0/4 : address is 000c.2927.c9bf, irq 5

6: Ext: GigabitEthernet0/5 : address is 000c.2927.c9c9, irq 9

7: Ext: GigabitEthernet0/6 : address is 000c.2927.c9d3, irq 11

8: Ext: GigabitEthernet0/7 : address is 000c.2927.c9dd, irq 10

9: Ext: GigabitEthernet0/8 : address is 000c.2927.c9e7, irq 5

License mode: Smart Licensing

ASAv Platform License State: Unlicensed

No active entitlement: no feature tier and no throughput level configured

*Memory resource allocation is more than the permitted limit.

Licensed features for this platform:

Maximum Physical Interfaces : 10

Maximum VLANs : 25

Inside Hosts : Unlimited

Failover : Active/Standby

Encryption-DES : Enabled

Encryption-3DES-AES : Enabled

Security Contexts : 0

Carrier : Disabled

AnyConnect Premium Peers : 2

AnyConnect Essentials : Disabled

Other VPN Peers : 50

Total VPN Peers : 50

AnyConnect for Mobile : Disabled

AnyConnect for Cisco VPN Phone : Disabled

Advanced Endpoint Assessment : Disabled

Shared License : Disabled

Total UC Proxy Sessions : 2

Botnet Traffic Filter : Enabled

Cluster : Disabled

Serial Number: 9AT6U3XC6HH

Image type : Release

Key version : A

Musimy odpowiednio edytować interfejsy sieciowe aby mieć do niej dostęp, wykorzystujemy do tego MAC adresy interfejsów które mamy wyżej. I edytujemy w Workstation przypisania Interfejsów:

Konfiguracja Interfejsu sieciowego aby mieć dostęp do wirtualki.


interface GigabitEthernet0/0
 nameif NET_LAB
 security-level 0
 ip address 192.168.1.80 255.255.255.0

interface GigabitEthernet0/0

nameif NET_LAB

security-level 0

ip address 192.168.1.80 255.255.255.0

Konfigurujemy ssh tak aby było można dostać się po interfejsie wcześniej skonfigurowanym NET_LAB


ssh 192.168.1.0 255.255.255.0 NET_LAB

ssh 192.168.1.0 255.255.255.0 NET_LAB

Konfigurujemy Usera który będzie mógł się logować po ssh


username michal password Qwert6 privilege 15

username michal password Qwert6 privilege 15

Konfigurujemy aaa dla ssh, enable oraz http:


aaa authentication enable console LOCAL
aaa authentication ssh console LOCAL
aaa authentication http console LOCAL

aaa authentication enable console LOCAL

aaa authentication ssh console LOCAL

aaa authentication http console LOCAL

Włączamy ASDM


http server enable

http server enable

tak jak dla ssh musimy pozwolić na dostęp do ASDM przez interfejs NET_LAB


http 192.168.1.0 255.255.255.0 NET_LAB

http 192.168.1.0 255.255.255.0 NET_LAB

Zmieniamy hostname:


hostname asav01

hostname asav01

po wykonaniu powyższych działań będziemy mogli zalogować się po ssh oraz przez ADSM do naszej maszynki.


asav01# show ssh sessions detail 

SSH Session ID          : 0
 Client IP              : 192.168.1.14
 Username               : michal
 SSH Version            : 2.0
 State                  : SessionStarted
 Inbound Statistics
  Encryption            : aes256-ctr
  HMAC                  : sha1
  Bytes Received        : 2028
 Outbound Statistics
  Encryption            : aes256-ctr
  HMAC                  : sha1
  Bytes Transmitted     : 3380
 Rekey Information
  Time Remaining (sec)  : 3291
  Data Remaining (bytes): 996144832
  Last Rekey            : 15:18:37.323 UTC Sun Mar 6 2016
  Data-Based Rekeys     : 0
  Time-Based Rekeys     : 0

asav01# show ssh sessions detail

SSH Session ID : 0

Client IP : 192.168.1.14

Username : michal

SSH Version : 2.0

State : SessionStarted

Inbound Statistics

Encryption : aes256-ctr

HMAC : sha1

Bytes Received : 2028

Outbound Statistics

Encryption : aes256-ctr

HMAC : sha1

Bytes Transmitted : 3380

Rekey Information

Time Remaining (sec) : 3291

Data Remaining (bytes): 996144832

Last Rekey : 15:18:37.323 UTC Sun Mar 6 2016

Data-Based Rekeys : 0

Time-Based Rekeys : 0

Tags: aaa, asa, asa pierwsze uruchomienie, asav, asdm, cisco, cisco adaptive security virtual appliance asav workstation, cisco asa, cisco asav, http server enable, ssh

Lab – Cisco ISE – AAA dla Junosa

Posted on 9 lutego, 2016 in Cisco, Juniper, Lab

W poprzednich wpisach opisałem jak zainstalować oraz jak podłączyć do AD ISE. Poniżej opiszę jak wykorzystać ISE jak radius który będzie serwować użytkowników do logowania po ssh i www dla urządzeń Juniper pod systemem Junos. Jak centralne repozytorium użytkowników będzie służyć AD. Mam nadzieję że komuś się przyda.

Bierzemy się do pracy.

Tworzymy grupy i userów:

Grupa AD	User	User Junos
Network-RW	netrw	RW
Network-RO	netro	RO
Network-OP	netop	OP

Od strony AD:

Logujemy się na kontroler domeny uruchamiamy przystawkę Active Directory Users and Computers.

Tworzymy grupy zgodnie z Tabelką wyżej:

Tworzymy userów zgodnie z tabelką:

Przypisujemy userów do grup zgodnie z tabelką:

Na tym kończymy pracę po stronie AD

Logujemy się do ISE

Zaczytujemy grupy utworzone w AD do ISE:

przechodzimy do: Administration–>Active Directory–>ise1–>Groups klikamy Add z menu wybieramy Select Groups From Directory

pokazuje się okno w którym wyszykujemy nasze grupy, które wcześnie utworzyliśmy oraz je wybieramy:

Przechodzimy do zakładki Attributes gdzie wybieramy wpisujemy usera na podstawie tego wybierzemy atrybuty które użyjemy w kolejnych krokach.

klikamy ok

włączamy usługę dla Radius i Tacacs

przechodzimy do Administration > System > Deployment Nodes List > nasz node Ise zaznaczamy kwadracik przy Enable Device Admin Service

Tworzymy lokalizację w której będziemy umieszczać urządzenia według jakiegoś typu – wym przypadku jest to Vendor. Przechodzimy do Network Device Groups > All Device Types List > New Network Device Group

Tworzymy na podobnej zasadzie lokalizacje urządzeń przechodzimy do Network Device Groups > All Locations List > New Network Device Group:

Tworzymy profil dla urządzeń Juniper przechodzimy do Administration > Network Resources > Network Device Profile List klikamy Add

w następnym oknie uzupełniamy:

nazwa profilu
w polu Vendor z menu wybieramy Other
w polu RADIUS Dictionaries z menu wybieramy Juniper

Przechodzimy do dodania urządzenie które będzie mogło łączyć się do Radiusa

Administration > Network Resources > Network Devices klikamy Add i w nowej stronie uzupełniamy:

name – wpisujemy nazwę dla urządzenia lub puli urządzń
IP Address – adres urządzenia możemy dodać kilka jak dodajemy pulę urządzeń lub całą sieć
Device Profile – wybieramy wcześniej utworzony profil dla Junipera
Device Type – wybieramy z listy profil dla typu który utworzyliśmy wcześniej
Location – tak jak wyżej wybieramy lokalizację którą zdefiniowaliśmy
zaznaczamy kwadracik przy: RADIUS Authentication Settings tam w polu:
- Shared Secret: ustawiamy hasło dla połączenia to samo hasło w późniejszym etapie będziemy ustawiać na urządzeniu

Kolejnym etapem jest utworzenie profilu ale dozwolonych protokołów przechodzimy do Policy > Policy Elements > Results > Authentication > Allowed Protocols

klikamy Add na nowej stronie:

Name – nazywamy profil
Authentication Protocols – zaznaczamy Allow PAP/ASCII

w sekcji Policy > Policy Elements > Results > Authorization Profiles klikamy Add

uzupełniamy pola:

w Name – Nazywamy profil ja go nazwałem zgodnie z profilem użytkownika oraz vendora
Network Device Profile – wybieramy Juniper profil który utworzyliśmy dla Junipera
Advanced Attributes Settings:
- w polu pierwszym z menu wybieramy Juniper:Juniper-Local-User-Name oraz wpisujemy nazwę użytkownika którego będziemy konfigurować na urządzeniu w późniejszym etapie w mym przypadku to jest RW pola mają wartości: Juniper-Local-User-Name = RW
- dodajemy drugie pole gdzie z menu wybieramy Radius:Service-Type w polu obok wybieramy Login

ostatni krok powtarzamy dla każdej z grup.

Przechodzimy do Policy > Authentication dodajemy nową politykę klikając na strzałkę przy edit i wybieramy Insert new row above i uzupełniamy politykę

nazywamy politykę
w polu if budujemy politykę: DEVICE:Device Type Equals Device Type#All Device Types#Juniper
Allow Protocols wybieramy utworzony profil dopuszczonych protokołów
use – wybieramy naszą konfigurację AD

Przechodzimy do Policy > Authorization budujemy polityki dla trzech zdefiniowanych grup zgodnie z tabelką z początku wpisu.

w polach:

Rule Name – nazywamy politykę
Conditions (identity groups and other conditions) – definiujemy na na jakiej podstawie następuje Autoryzacja użytkownika
Permissions wybieramy profil uprawnień na podstawie profilu który wcześniej zdefiniowaliśmy.

Politykę budujemy przez menu w każdym polu oraz dopisaniu wartości. W mym przypadku polityka wygląda tak:

Rule Name	Conditions	Permissions
Juniper-RW	if ANY and (ise1:memberOf Contains CN=Network-RW,CN=Users,DC=safekom,DC=pl and DEVICE:Device Type Contains Device Type#All Device Types#Juniper)	Juniper-RW

Ten krok powtarzamy dla każdej grupy

przechodzimy do konfiguracji po stronie urządzenia:

Logujemy się na urządzenie – ja preferuję CLI

Konfigurujemy Radiusa:


set system radius-server 192.168.1.55 port 1812
set system radius-server 192.168.1.55 secret Nasz_secret_ustawiony_po_stronie_ISE
set system radius-server 192.168.1.55 source-address 192.168.1.53

set system radius-server 192.168.1.55 port 1812

set system radius-server 192.168.1.55 secret Nasz_secret_ustawiony_po_stronie_ISE

set system radius-server 192.168.1.55 source-address 192.168.1.53

Konfigurujemy jaka sekwencja ma być przy autoryzacji użytkownika – w labie wybieram radius a jako drugie password (lokalny user)


set system authentication-order radius
set system authentication-order password

set system authentication-order radius

set system authentication-order password

Tworzymy userów jak wzorce dla użytkowników którzy będą logować się z wykorzystanie radiusa z godnie z tabelką na początku wpisu oraz konfiguracji ISE:


set system login user OP uid 2003
set system login user OP class operator
set system login user RO uid 2004
set system login user RO class read-only
set system login user RW uid 2001
set system login user RW class super-user

set system login user OP uid 2003

set system login user OP class operator

set system login user RO uid 2004

set system login user RO class read-only

set system login user RW uid 2001

set system login user RW class super-user

Pora na testy, jeżeli wszystko mamy skonfigurowane zgodnie założeniami nie będziemy mieli problemów. W ISE przechodzimy Operations > RADIUS Livelog klikamy na Show Live Authentications

i zaczynamy logować się na poszczególnych użytkowników do naszego urządzenia po ssh.

na pierwszy ogień idzie user netwr, jak widać poniżej możemy zalogować, przejść do konfiguracji oraz wyświetlić konfigurację


--- JUNOS 15.1X49-D15.4 built 2015-07-31 02:20:21 UTC
netwr> configure 
Entering configuration mode

[edit]
netwr# exit 
Exiting configuration mode

netwr> 
netwr> show configuration system radius-server    
192.168.1.55 {
    port 1812;
    secret "$9$IRJErK7-woaUdbPQ36AtxN-dgo"; ## SECRET-DATA
    source-address 192.168.1.53;
}

netwr>

--- JUNOS 15.1X49-D15.4 built 2015-07-31 02:20:21 UTC

netwr> configure

Entering configuration mode

[edit]

netwr# exit

Exiting configuration mode

netwr>

netwr> show configuration system radius-server

192.168.1.55 {

port 1812;

secret "$9$IRJErK7-woaUdbPQ36AtxN-dgo"; ## SECRET-DATA

source-address 192.168.1.53;

}

netwr>

po stronie ISE widzimy:

po kliknięciu na ikonę w kolumnie Details możemy dowiedzieć się wszystkie o procesie autoryzacji. Log otworzy nam się w nowym oknie lub zakładce:

powtarzamy operację dla każdego usera.

sprawdzamy jak to wygląda po stronie ISE:

od strony urządzenia:

User netop:


--- JUNOS 15.1X49-D15.4 built 2015-07-31 02:20:21 UTC
netop> con
       ^
unknown command.
netop> ?     
Possible completions:
  clear                Clear information in the system
  file                 Perform file operations
  help                 Provide help information
  monitor              Show real-time debugging information
  mtrace               Trace multicast path from source to receiver
  op                   Invoke an operation script
  ping                 Ping remote target
  quit                 Exit the management session
  request              Make system-level requests
  restart              Restart software process
  set                  Set CLI properties, date/time, craft interface message
  show                 Show system information
  ssh                  Start secure shell on another host
  start                Start shell
  telnet               Telnet to another host
  test                 Perform diagnostic debugging
  traceroute           Trace route to remote host
netop> show configuration 
## Last commit: 2016-02-07 21:53:33 CET by netwr
version /* ACCESS-DENIED */;
groups {
    global {
        system { /* ACCESS-DENIED */ };
    }
}
system { /* ACCESS-DENIED */ };
security { /* ACCESS-DENIED */ };
interfaces { /* ACCESS-DENIED */ };

netop>

--- JUNOS 15.1X49-D15.4 built 2015-07-31 02:20:21 UTC

netop> con

unknown command.

netop> ?

Possible completions:

clear Clear information in the system

file Perform file operations

help Provide help information

monitor Show real-time debugging information

mtrace Trace multicast path from source to receiver

op Invoke an operation script

ping Ping remote target

quit Exit the management session

request Make system-level requests

restart Restart software process

set Set CLI properties, date/time, craft interface message

show Show system information

ssh Start secure shell on another host

start Start shell

telnet Telnet to another host

test Perform diagnostic debugging

traceroute Trace route to remote host

netop> show configuration

## Last commit: 2016-02-07 21:53:33 CET by netwr

version /* ACCESS-DENIED */;

groups {

global {

system { /* ACCESS-DENIED */ };

}

system { /* ACCESS-DENIED */ };

security { /* ACCESS-DENIED */ };

interfaces { /* ACCESS-DENIED */ };

netop>

user netro:


--- JUNOS 15.1X49-D15.4 built 2015-07-31 02:20:21 UTC
netro> 

netro> 

netro> conf
       ^
unknown command.
netro> ?      
Possible completions:
  file                 Perform file operations
  help                 Provide help information
  op                   Invoke an operation script
  quit                 Exit the management session
  request              Make system-level requests
  set                  Set CLI properties, date/time, craft interface message
  show                 Show system information
  start                Start shell
  test                 Perform diagnostic debugging

--- JUNOS 15.1X49-D15.4 built 2015-07-31 02:20:21 UTC

netro>

netro> conf

unknown command.

netro> ?

Possible completions:

file Perform file operations

help Provide help information

op Invoke an operation script

quit Exit the management session

request Make system-level requests

set Set CLI properties, date/time, craft interface message

show Show system information

start Start shell

test Perform diagnostic debugging

Część 1 – Instalacja ISE w Labie

Część 2 – Integracja ISE z AD

Tags: aaa, ad, cisco ise, class, Conditions, ISE, Junos, Permissions, Radius

SafeKom Blog

Notatki konsultanta IT

Tag: aaa

LAB – ISE jako radius dla PaloAlto dla kont Admina

Konfiguracja ISE

Konfiguracja Palo

ASAv – pierwsze uruchomienie w labie

Lab – Cisco ISE – AAA dla Junosa