Cisco ISE を使ったGuest認証

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
Integrating Cisco ISE Guest Authentication with PAN-OS
https://live.paloaltonetworks.com/t5/Integration-Articles/Integrating-Cisco-ISE-Guest-Authentication...

 

 

Cisco ISEがPAN-OSにユーザーID情報を送付する設定について記述したものです。この設定例では、Cisco ISE 1.4.0-253とPAN-OS 6.1/7.0を使用しています。 


この設定例では、ユーザーIDがActive Directoryで既に動作しています。ゲスト情報のみをCisco ISEから得ることを設定者は考えています。この振る舞いは、正規表現にてサブネットを追加/削除することにより変更できます。

 

Cisco ISEはネットワーク上のユーザーを認証するためのRADIUSサーバーとして動作します。RADIUS認証、アカウンティングログをPAN-OSに送付することができます。

 

詳細

 

Cisco ISE上で新規Remote Log Targetを設定します。デバイスはPAN-OS装置になります:

  • Administration > System > Logging > Remote Logging Targets を選択します。
  • Addをクリックします。
  • Nameにご自由に名前を入れて、Target TypeにはUDP Syslogを選択します。IP addressには、PAN-OS管理インターフェイスのIPアドレスを入力します。
  • Submitをクリックします。

 

Picture1.png

他にUser-IDログ情報を送りたいデバイスがある場合は、操作を繰り返します。

 

ISEPassed Authentication Syslog Messages転送設定をします。

  • Administration > System > Logging > Logging Categoriesを選択します。
  • Passed Authenticationsをクリックします。
  • 先程作成したremote log targetを選んで、“Available”欄から、“>”をクリックして、“Selected”欄に移します。
  • Saveをクリックします。

Picture2.png

  

ユーザー ID Syslog リスナー UDPPAN-OS上で有効にします。

  • Device > セットアップ > 管理インターフェイス設定を選択します。
  • ユーザー ID Syslog リスナー UDP のチェックボックスを選択します。
  • OKをクリックします。

Picture4.png

 

Syslog 解析プロファイルを送付されてくるsyslog messagesとマッチするように設定します。

  • Device > ユーザー ID > ユーザー マッピングを選択します。
  • Palo Alto Networks ユーザー ID エージェント設定を編集、Syslog のフィルタをクリックします。
  • 追加を選択します。
  • 下記のようにすべての情報を入力します。

 

ここは注意が必要な個所です。-- 無線装置には、Cisco ISEはUser-ID情報を認証ログのみに、そして有線装置にはUser-ID情報をアカウンティングログのみに送付します。

 

参照例としては、

 

  • 10.10.130.0/24 = 無線ゲスト
  • 10.10.30.0/24 = 無線ゲスト
  • 10.10.140.0/24 = 有線ゲスト

イベントの正規表現は以下のようになります。

 

  • Syslog 解析プロファイル: Cisco ISE
  • イベントの正規表現: ([A-Za-z0-9].*CISE_Passed_Authentications.*((Framed-IP-Address=10\.10\.130)|(Framed-IP-Address=10\.10\.30))|([A-Za-z0-9].*CISE_RADIUS_Accounting.*(Framed-IP-Address=10\.10\.140)))
  • ユーザー名の正規表現: (?<=UserName=|User-Name=)[\w-]+
  • アドレスの正規表現: Framed-IP-Address=([0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}) 
  • OKをクリックします。

Picture6.png

 

Cisco ISE 2.1syslog 解析プロファイルは以下のようになります。

Event Regex
([A-Za-z0-9].*CISE_Passed_Authentications.*Framed-IP-Address=.*)|([A-Za-z0-9].*CISE_RADIUS_Accounting.*Framed-IP-Address=.*)

Username Regex
User-Name=([a-zA-Z0-9\@\-\\/\\\._]+)|UserName=([a-zA-Z0-9\@\-\\/\\\._]+)

Address Regex
Framed-IP-Address=([0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3})

 

ISEサーバーをサーバー モニタリングに追加します。

  • Device > ユーザー ID > ユーザー マッピングを選択します。
  • サーバー モニタリングにて、追加をクリックします。
  • 名前と内容は自由に入力します。
  • タイプでは、Syslog Senderを選択します。
  • ネットワーク アドレスにはCisco ISEのIPアドレスを入力します。
  • 接続タイプはUDPを選択します。
  • フィルタにはCisco ISEを選択します。
  • デフォルト ドメイン名にはNetbiosドメイン名、もしくは、環境に即した情報を入力します。
  • OKをクリックして閉じ、Commitをクリックします。

Picture7.png

 

 

準備ができました。PAN-OS装置はCisco ISEからUser-ID情報を受け取れているはずです。以下のコマンドで動作確認をすることができます。

 

show user server-monitor state 
show user ip-user-mapping all type SYSLOG
test user-id user-id-syslog-parse
tail follow yes mp-log useridd.log

 

参考情報

Configuring Cisco ACS to send RADIUS Accounting directly to the firewall using Syslog
Configuring ISE to Forward User Login Events to CDA

 

著者: Marcos