RADIUSベンダー識別子(VSA: Vendor-Specific Attributes)

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
RADIUS Vendor-Specific Attributes (VSA)
https://live.paloaltonetworks.com/t5/Configuration-Articles/RADIUS-Vendor-Specific-Attributes-VSA/ta...

 

概要

この文章ではRADIUSベンダー識別子(VSA: Vendor-Specific Attributes)をPalo Alto Networks次世代ファイアウォール、Panoramaサーバーに設定する方法について記述します。Palo Alto Networks ファイアウォール機器と、Panoramaサーバー設定は基本的に同じです。

注: Palo Alto Networksはベンダーコード25461を使用します。

 

属性には、以下の5つがあります。

  • PaloAlto-Admin-Role: 属性第1 – 初期のadmin role名かcustom admin role名のいずれかです。
  • PaloAlto-Admin-Access-Domain: 属性第2 - Palo Alto NetworksデバイスにてマルチVsysを有効にした場合に使用します。これはDevice > Access Domainsで設定されたアクセス ドメイン名です。
  • PaloAlto-Panorama-Admin-Role: 属性第3 – Panoramaの初期のadmin role名かcustom admin role名のいずれかです。
  • PaloAlto-Panorama-Admin-Access-Domain: 属性第4 - これはPanoramaのDevice > Access Domainsで設定されたアクセス ドメイン名です。
  • PaloAlto-User-Group: 属性第5 – 認証プロファイルで使用するグループ名です。

 

  1. RADIUSサーバが準備されていない場合、作成を完了してください。グループ情報を取り出すのはベンダー識別子(VSA)特有機能で、通常のRADIUS設定では不必要です。

    DOC-1765-radius server.png

  2. 認証プロファイルの作成します。RADIUS認証でログインできるユーザーをグループ名でフィルターしたい場合、追加ユーザーのAllow Listウィンドウにグループ名を入力します。この例で使われているグループ名はtestgroupです。
    注: Allow Listの追加はオプショナルです。
    DOC-1765-authentication profile.png

  3. Panorama設定
    1. PanoramaアクセスのAdmin Role設定します。これによりユーザー アクセスがどのような権限を持っているかPanoramaに知らせることができます。
    2. Device > Admin RoleにアクセスしAdmin Roleを作成します。このロールは、ユーザーがログインした時に正しい権限を譲渡します。この設定例では、testroleを使っています。
    3. "デバイス グループとテンプレート" のオプションは、アクセス ドメイン中の特定のデバイスに対するアクセス許可を与えるように、必ずチェックしてください。
      DOC-1765-panorama setting.png

  4. アクセス ドメインの設定はPanoramaにユーザーがどのような権限を持っているか知らせます。
    DOC-1765-access domain.png

  5. 認証プロファイルをPalo Alto Networksデバイス、もしくはPanoramaに適用する場合、Palo Alto Networksデバイスの場合は、Device > Setup > Management > Authentication Profile、Panoramaの場合は Panorama > Setup > Management > Authentication Profileに移動します。

DOC-1765-authentication settings.png

 

Windows 2003: Palo Alto Networksベンダー識別子を(VSA)をWindows 2003サーバーに設定する。

想定 : RADIUSクライアントとRemote Access Policyが既に設定されていること。

  1. 既存のRemote Access Profileを編集します。DOC-1765-remote access profile.png

  2. Remote AccessプロファイルのEdit Profileボタンをクリックします。

    r7.png

  3. Advancedを選択し、Addをクリックします。

    r8.png

  4. Vendor-Specificまでスクロールし、Addをクリックします。

    r9.png

  5. 次のウィンドウで、Addをクリックし必要な属性を作ります。

    r10.png

  6. ベンダー識別子(Vendor-Specific Attribute)情報ウィンドウでVendorコードを選択し、25461を右側フィールドに入力します。続いて、"Yes, It conforms," を選択し、 "Configure Attribute…"をクリックします。

    r11.png

  7. 次のウィンドウで、このドキュメントの冒頭に説明した、ベンダー識別子番号(Vendor-assigned attribute number)を入力します。識別子のフォーマットは "String" であるべきです。識別子の値は、設定次第になります。
    以下がPalo Alto Networksデバイスに設定した、ロール (testrole) の例です。

    r13.png

     

    以下が、Palo Alto Networks装置のVsys (vsys1)設定例です。

    r14.png

     

    以下が、Panoramaサーバーに設定した、ロール(testrole)の例です。

    r15.png

     

    以下が、Panoramaサーバーに設定したアクセス ドメイン(Domain1)の例です。

    r16.png

     

    以下が、Palo Alto Networks装置、Panoramaサーバーに設定したグループ(testgroup)の例です。

    r17.png

     

    以下が、カスタムAdmin Role(testrole)とグループ(testgroup)を認証プロファイルでPalo Alto Networksデバイスに設定した例です。これらはこの文章の冒頭部分で設定されています。

    r19.png

     

Windows 2008ネットワーク ポリシー サーバー: Palo Alto Networksベンダー識別子(VSA)をWindows 2008サーバーに設定する。

想定: RADIUSクライアントとネットワーク ポリシーが既に設定されていること。

  1. 既存のNetwork Policiesを右クリックから編集を選択し、プロパティを選択します。

    r29.png

  2. Settingsタブから、Vendor Specificを選び、Addボタンをクリックします。

    r30.png

  3. Attributesボックスをスクロールダウンし、Vendor-Specificを選びます。

    r31.png

  4. Addボタンをクリックします。

    r32.png

  5. Vendor-Specific Attribute Informationウィンドウで、Enter Vendor Codeを選び、25461を右側フィールドに入力します(以下の図を参照)。次に"Yes, It conforms,"を選択し、"Configure Attribute…"をクリックします。

    r33.png

  6. 次のウィンドウで、この文章の冒頭部分で説明したようにベンダーが割当てた識別番号を入力します。識別フォーマットは "String" であるべきです。識別子の値は、設定次第です。以下の設定例では、Palo Alto Networks デバイス、Panoramaサーバーの識別子の設定が可能です。
    以下が、Palo Alto Networksデバイスのロール (testrole)設定例です。

    r34.png

     

    以下が、Palo Alto NetworksデバイスのVsys (vsys1)設定例です。

    r36.png

     

    以下が、Panoramaサーバーのロール (testrole)設定例です。

    r37.png

     

    以下が、Panoramaサーバーのアクセス ドメイン (Domain1)設定例です。

    r38.png

     

    以下が、Palo Alto Networksデバイス、Panoramaサーバーのグループ(testgroup)設定例です。

    r39.png

     

    以下が、カスタムAdmin Role(testrole)とグループ(testgroup)を認証プロファイルでPalo Alto Networksデバイスに設定した例です。これらはこの文章の冒頭部分で設定されています。

    r40.png

     

Cisco ACS

次にベンダー識別子(VSA)をCisco ACS 4.0 サーバーに設定します。

想定: RADIUSが設定され、Panoramaサーバー上で動作していること。

 

  1. palalto.ini という名前のファイルをCisco ACS サーバーのUtilsフォルダーに作成します。

    r21.png

     

    以下がiniファイルに記述するサンプル例です。

    r22.png

  2. iniファイルを保存し、ACSサーバーのbinフォルダーにあるCSUtil.exeコマンドを起動して、それをACSサーバーに反映させます。

    コマンド例: CSUtil.exe –addUDV 0 C:\Program Files\CiscoSecure ACS v4.0\Utils\paloalto.ini

    r23.png

  3. ACS サーバーにて、Interface設定ページを選び、"RADIUS (PaloAlto)"をクリックします。

    r24.png

  4. 使用したい識別子を選びます。以下のサンプル例ではすべてを選択しています。Submitをクリックします。

    r25.png

  5. ACS Groupの識別子を編集します。testgroupというグループを作成します。

    r26.png

  6. グループ設定で、以下の図のように、jump toで"RADIUS (PaloAlto)"が選択できます。

    r27.png

  7. ご使用になられたいオプションを設定します。カスタムAdmin Role(testrole)とグループ(testgroup)を認証プロファイルでPanoramaサーバーに設定した例です。これらはこの文章の冒頭部分で設定されています。

    r28.png

 

参考

Configuring Cisco ACS 5.2 for use with Palo Alto Vendor Specific Attributes  (英文)

 

著者: rnit