Tag: user

LAB – ISE jako radius dla PaloAlto dla kont Admina

Po dłuższej przerwie wróciłem do integracji Cisco ISE 2.0 z Palo Alto Networks wykorzystując Radiusa z ISE jako punkt uwierzytelniania kont administracyjnych. Wiem, że zapewne większość autoryzacji kont administracyjnych opiera się o LDAP oraz AD. Natomiast ja jak zawszę muszę kombinować i komplikować scenariusze do labowania, ale dzięki takiemu podejściu jestem w stanie bardziej poznać oba systemy.

Konfiguracja ISE

przechodzimy do Policy –> Policy Elements –> Dictationaries wybieramy system –> radiusRADIUS Vendors. Tutaj będzie nam pomocny link– gdzie mamy opisane atrybuty.
klikamy add

palo_ise01

Dictionary Name: PaloAlto – nasza nazwa
Vendor ID: 25461

klikamy submit

przechodzimy do nowo utworzonego profilu po czym przechodzimy do Dictionary Attributes. Klikamy add
zgodnie z dokumentacją PaloAlto. W tej chwili będzie nam potrzebny jeden atrybut
palo_ise02

Attribute Name: PaloAlto-Admin-Role
Data Type: String
Direction: Both
ID: 1
W kroku kolejnym tworzymy profil dla urządzań typu PaloAlto. Przechodzimy do Administration –> Network Resources –> Network Device Profiles klikamy Add

palo_ise03
Dodajemy nasze urządzenie do ISE, przechodzimy do Administration –> Network Resources –> Network Devices klikamy Add

palo_ise09
Podajemy dane:
Name: nazwę dla naszego urządzenia
IP Address: podajemy adres ip, z którego nasze urządzenie będzie się komunikowało z serwerem ISE
Device Profile: wybieramy nasz profil dla urządzeń Palo
Device Type: ja stworzyłem oddzielne repo dla urządzęń tego typu
Location: również podzieliłem na lokalizację
Wybieramy: RADIUS Authentication Settings
w polu Shared Secret wpisujemy nasze hasło, które będzie wykorzystywane do połączenia PALO do ISE

Wybieramy grupę AD, w  której będą użytkownicy mogący zalogować się na Palo

Przechodzimy do Administration –> Indetity Management –> External Identity Soures, wybieramy Active Direcory oraz nasz punkt spięcia z naszym AD. Tam wybieramy Groups, dodajemy Add z menu Select Dictionary Groups po czym otworzy się okno, w którym możemy wyszukać naszą grupę dodając ją do ISE.

palo_ise04

Tworzymy profil dozwolonych protokołów komunikacji PALO ISE, przechodzimy do Policy –> Policy Elements –> Results –> Authentication –> Allowed Protocols, klikamy Add

palo_ise05

Tworzymy profil autoryzacyjny, przechodzimy do Policy –> Policy Elements –> Results –> Authorization –> Authoriztion Profiles, kliamy Add

palo_ise06
w polu Advanced Attributes Settings wybieramy z menu PaloAlto –> PaloAlto-Admin-Role, w polu obok wpisujemy nazwę naszego profilu z Palo, który później zostanie skonfigurowany na Palo.

W polu Attributes Details mamy taki wynik:

przechodzimy do utworzenia reguły autoryzacyjnej, gdzie idziemy do Polcy –> Authorization

palo_ise07

dodajemy nową rulę gdzie:
Rule Name: nasza nazwa reguły
warunki:
If ANY and ISE-SRV:memberOf maches CN=PA-admin-full,CN=Users,DC=safekom,DC=pl
and DEVICE:Device Type Equals Device Type#All Device Types#Palo
then Palo-auth

 

Konfiguracja Palo

Prszyszedł czas na konfigurację naszego Palo. Po zalogowaniu się przechodzimy do Device –> Server Profiles –> Radius, dodajemy nowy profil z ISE

palo_ise08

gdzie:

Profil Name: nasz profil Radiusa

w polu servers dodajemy nasze serwery radiusa (w mym przypadku jest to jeden serwer)

Name: nasza nazwa rozpoznawcza

RADIUS Server: adres IP lub FQDN naszego radiusa

Secret: nasze ustawione hasło

Port: Standardowo 1812

CLI

Tworzymy profil Admin Roles – dzięki temu profilowi możliwe będzie zalogowanie się użytkownika z odpowiednimi uprawnieniami.

palo_ise10

W tym miejscu ważne jest aby nazwa profilu była taka sama jak zdefiniowaliśmy ją na serwerze ISE admin-radius

Cli

Tworzymy profil dla Authentication Profile, gdzie będziemy wykorzystywać nasz profil dla ISE:

palo_ise11
w Type wybieramy RADIUS
Server Profile wybieramy nasz profil ISE
W Advanced
w Allow List dajemy all

palo_ise12

Cli

Po wykonaniu commitu próbujemy zalogować się do urządzenia po ssh

palo_ise13

w logach PA widzimy:

Web

wyszukujemy po:

lub jak niżej na screenie:

Jak chcemy wyszukać błędne autoryzacje stosujemy filtr:

palo_ise18

CLI

 

Taki użytkownik nie może dodawać kont lokalnych i modyfikować ich oraz dodawać/modyfkować Admin Rulses tak jak widać niżej pola add oraz delete mam wyszarzane:

palo_ise17
Aby umożliwić dostęp na pełnych prawach musimy utworzyć konto Administratora:

palo_ise15

gdzie Name jest naszym userem, który jest w Radiusie.

CLI

Po takim zabiegu mamy konto z full uprawnieniami, zalogowany administrator już może modyfikować Admin Roles

palo_ise19

Poprzednie wpisy dotyczące ISE:

  1. LAB – Cisco ISE 2.0 w Labie – cz1
  2. LAB – Cisco ISE join AD cz.2
  3. Lab – Cisco ISE – AAA dla Junosa

Palo – AD 2012 user maping

Poniżej opis jak podłączyć Palo do AD 2012 w celu pozyskania użytkowników do Autoryzacji SSH, WEB GUI.

Kontroler domeny windows 2012r poziom AD 2012

AD01- 192.168.1.199

User- pa-admin-user

domena- safekom.pl

Konfiguracja Palo:

Device –> Server Profiles –> LDAP

ldap01

Gdzie w servers podajemy namiary na kontrolery domeny, w mym przypadku jest to jeden serwer. Na chwilę obecną korzystam z LDAP bez SSL. W polu Domain wpisujemy nazwę NETBIOS  domeny, w kolejnym polu wybieramy Active-Directory. W polu Base podajemy w formacie LDAP (X.500) czyli DC=safekom, dc=pl, w polu Bind DN podajemy usera który może czytać drzewo LDAP, w dokumentacji jest aby pole podawać w formacie X.500 a zastosowałem user@domena.pl, pole Bind Password – hasło do użytkownika.

to co wyżej ale z CLI:

 

Kolejnym krokiem jest wybranie grup w AD które będą przeszukiwane. Przechodzimy do Device–>User Identification –> Group Mapping Settings, dodajemy nowy profil:

ldap02

Gdzie:

Name – dowolna nazwa profilu

Server profile – wybieramy profil który utworzyliśmy dla serwera LDAP

przechodzimy do zakładki Group Include List gdzie wybieramy grupy AD które mają być przeszukiwane.

ldap03

To co wyżej ale z CLI:

Tworzymy użytkownika który może zalogować się po SSH oraz WEB GUI

Pierwszym krokiem będzie utworzenie profilu Authentication Profile.

ldap04

Gdzie:

Name – to dowolna nasza nazwa

w polu Allow List wybieramy grupę z AD która ma być sprawdzana autoryzację użytkownika.

Authentication – wybieramy LDAP

Server Profile – Nasz profil

Login Attribute – wpisujemy sAMAccountName (jest to nazwa pola user w AD)

To co wyżej ale z CLI:

Przechodzimy do Administrators gdzie mapujemy użytkowania.

ldap05

gdzie:

Name: użytkownik z AD

Roule: Dynamic – Superuser

To co wyżej ale z CLI:

 

Kolejnym krokiem będzie pozyskanie IP użytkowników ale to będzie w kolejnym wpisie na blogu

Cisco – user read only

ostatnio siedziałem nad problemem jak szybko utworzyć usera read only na urządzeniu Cisco. Poniżej instrukcja dla potomnych.

Definiujemy privilege level 5 oraz tworzymy konto test

ale po zalogowaniu się na urządzenie userem test, po wydaniu komendy ‘show run’ nie widzimy konfigu:

rozwiązaniem tego problemu wywołanie komendy

wynik:

Mam nadzieję że komuś się przyda ten wpis.