キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 

Cisco ISE を使ったGuest認証

キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
Printer Friendly Page
kkondo
kkondo
‎04-25-2018 08:44 PM

※この記事は以下の記事の日本語訳です。
Integrating Cisco ISE Guest Authentication with PAN-OS
https://live.paloaltonetworks.com/t5/Integration-Articles/Integrating-Cisco-ISE-Guest-Authentication...

 

 

Cisco ISEがPAN-OSにユーザーID情報を送付する設定について記述したものです。この設定例では、Cisco ISE 1.4.0-253とPAN-OS 6.1/7.0を使用しています。 


この設定例では、ユーザーIDがActive Directoryで既に動作しています。ゲスト情報のみをCisco ISEから得ることを設定者は考えています。この振る舞いは、正規表現にてサブネットを追加/削除することにより変更できます。

 

Cisco ISEはネットワーク上のユーザーを認証するためのRADIUSサーバーとして動作します。RADIUS認証、アカウンティングログをPAN-OSに送付することができます。

 

詳細

 

Cisco ISE上で新規Remote Log Targetを設定します。デバイスはPAN-OS装置になります:

  • Administration > System > Logging > Remote Logging Targets を選択します。
  • Addをクリックします。
  • Nameにご自由に名前を入れて、Target TypeにはUDP Syslogを選択します。IP addressには、PAN-OS管理インターフェイスのIPアドレスを入力します。
  • Submitをクリックします。

 

Picture1.png

他にUser-IDログ情報を送りたいデバイスがある場合は、操作を繰り返します。

 

ISEPassed Authentication Syslog Messages転送設定をします。

  • Administration > System > Logging > Logging Categoriesを選択します。
  • Passed Authenticationsをクリックします。
  • 先程作成したremote log targetを選んで、“Available”欄から、“>”をクリックして、“Selected”欄に移します。
  • Saveをクリックします。

Picture2.png

  

ユーザー ID Syslog リスナー UDPPAN-OS上で有効にします。

  • Device > セットアップ > 管理インターフェイス設定を選択します。
  • ユーザー ID Syslog リスナー UDP のチェックボックスを選択します。
  • OKをクリックします。

Picture4.png

 

Syslog 解析プロファイルを送付されてくるsyslog messagesとマッチするように設定します。

  • Device > ユーザー ID > ユーザー マッピングを選択します。
  • Palo Alto Networks ユーザー ID エージェント設定を編集、Syslog のフィルタをクリックします。
  • 追加を選択します。
  • 下記のようにすべての情報を入力します。

 

ここは注意が必要な個所です。-- 無線装置には、Cisco ISEはUser-ID情報を認証ログのみに、そして有線装置にはUser-ID情報をアカウンティングログのみに送付します。

 

参照例としては、

 

  • 10.10.130.0/24 = 無線ゲスト
  • 10.10.30.0/24 = 無線ゲスト
  • 10.10.140.0/24 = 有線ゲスト

イベントの正規表現は以下のようになります。

 

  • Syslog 解析プロファイル: Cisco ISE
  • イベントの正規表現: ([A-Za-z0-9].*CISE_Passed_Authentications.*((Framed-IP-Address=10\.10\.130)|(Framed-IP-Address=10\.10\.30))|([A-Za-z0-9].*CISE_RADIUS_Accounting.*(Framed-IP-Address=10\.10\.140)))
  • ユーザー名の正規表現: (?<=UserName=|User-Name=)[\w-]+
  • アドレスの正規表現: Framed-IP-Address=([0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}) 
  • OKをクリックします。

Picture6.png

 

Cisco ISE 2.1syslog 解析プロファイルは以下のようになります。

Event Regex
([A-Za-z0-9].*CISE_Passed_Authentications.*Framed-IP-Address=.*)|([A-Za-z0-9].*CISE_RADIUS_Accounting.*Framed-IP-Address=.*)

Username Regex
User-Name=([a-zA-Z0-9\@\-\\/\\\._]+)|UserName=([a-zA-Z0-9\@\-\\/\\\._]+)

Address Regex
Framed-IP-Address=([0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3})

 

ISEサーバーをサーバー モニタリングに追加します。

  • Device > ユーザー ID > ユーザー マッピングを選択します。
  • サーバー モニタリングにて、追加をクリックします。
  • 名前と内容は自由に入力します。
  • タイプでは、Syslog Senderを選択します。
  • ネットワーク アドレスにはCisco ISEのIPアドレスを入力します。
  • 接続タイプはUDPを選択します。
  • フィルタにはCisco ISEを選択します。
  • デフォルト ドメイン名にはNetbiosドメイン名、もしくは、環境に即した情報を入力します。
  • OKをクリックして閉じ、Commitをクリックします。

Picture7.png

 

 

準備ができました。PAN-OS装置はCisco ISEからUser-ID情報を受け取れているはずです。以下のコマンドで動作確認をすることができます。

 

show user server-monitor state 
show user ip-user-mapping all type SYSLOG
test user-id user-id-syslog-parse
tail follow yes mp-log useridd.log

 

参考情報

Configuring Cisco ACS to send RADIUS Accounting directly to the firewall using Syslog
Configuring ISE to Forward User Login Events to CDA

 

著者: Marcos

0 件の賞賛
この記事を評価:
3,362件の閲覧回数
Ask Questions Get Answers Join the Live Community
バージョン履歴
改訂番号
2/2
最終更新:
‎04-25-2018 08:44 PM
更新者:
tsakurai
 
記事履歴を表示
寄稿者:
Latest Blogs
Latest Posts
Privacy Policy Terms of Use
Copyright 2007 - 2019 - Palo Alto Networks