Cisco ISE を使ったGuest認証

告知

ATTENTION Customers, All Partners and Employees: The Customer Support Portal (CSP) will be undergoing maintenance and unavailable on Saturday, November 7, 2020, from 11 am to 11 pm PST. Please read our blog for more information.

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
Integrating Cisco ISE Guest Authentication with PAN-OS
https://live.paloaltonetworks.com/t5/Integration-Articles/Integrating-Cisco-ISE-Guest-Authentication...

 

 

Cisco ISEがPAN-OSにユーザーID情報を送付する設定について記述したものです。この設定例では、Cisco ISE 1.4.0-253とPAN-OS 6.1/7.0を使用しています。 


この設定例では、ユーザーIDがActive Directoryで既に動作しています。ゲスト情報のみをCisco ISEから得ることを設定者は考えています。この振る舞いは、正規表現にてサブネットを追加/削除することにより変更できます。

 

Cisco ISEはネットワーク上のユーザーを認証するためのRADIUSサーバーとして動作します。RADIUS認証、アカウンティングログをPAN-OSに送付することができます。

 

詳細

 

Cisco ISE上で新規Remote Log Targetを設定します。デバイスはPAN-OS装置になります:

  • Administration > System > Logging > Remote Logging Targets を選択します。
  • Addをクリックします。
  • Nameにご自由に名前を入れて、Target TypeにはUDP Syslogを選択します。IP addressには、PAN-OS管理インターフェイスのIPアドレスを入力します。
  • Submitをクリックします。

 

Picture1.png

他にUser-IDログ情報を送りたいデバイスがある場合は、操作を繰り返します。

 

ISEPassed Authentication Syslog Messages転送設定をします。

  • Administration > System > Logging > Logging Categoriesを選択します。
  • Passed Authenticationsをクリックします。
  • 先程作成したremote log targetを選んで、“Available”欄から、“>”をクリックして、“Selected”欄に移します。
  • Saveをクリックします。

Picture2.png

  

ユーザー ID Syslog リスナー UDPPAN-OS上で有効にします。

  • Device > セットアップ > 管理インターフェイス設定を選択します。
  • ユーザー ID Syslog リスナー UDP のチェックボックスを選択します。
  • OKをクリックします。

Picture4.png

 

Syslog 解析プロファイルを送付されてくるsyslog messagesとマッチするように設定します。

  • Device > ユーザー ID > ユーザー マッピングを選択します。
  • Palo Alto Networks ユーザー ID エージェント設定を編集、Syslog のフィルタをクリックします。
  • 追加を選択します。
  • 下記のようにすべての情報を入力します。

 

ここは注意が必要な個所です。-- 無線装置には、Cisco ISEはUser-ID情報を認証ログのみに、そして有線装置にはUser-ID情報をアカウンティングログのみに送付します。

 

参照例としては、

 

  • 10.10.130.0/24 = 無線ゲスト
  • 10.10.30.0/24 = 無線ゲスト
  • 10.10.140.0/24 = 有線ゲスト

イベントの正規表現は以下のようになります。

 

  • Syslog 解析プロファイル: Cisco ISE
  • イベントの正規表現: ([A-Za-z0-9].*CISE_Passed_Authentications.*((Framed-IP-Address=10\.10\.130)|(Framed-IP-Address=10\.10\.30))|([A-Za-z0-9].*CISE_RADIUS_Accounting.*(Framed-IP-Address=10\.10\.140)))
  • ユーザー名の正規表現: (?<=UserName=|User-Name=)[\w-]+
  • アドレスの正規表現: Framed-IP-Address=([0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}) 
  • OKをクリックします。

Picture6.png

 

Cisco ISE 2.1syslog 解析プロファイルは以下のようになります。

Event Regex
([A-Za-z0-9].*CISE_Passed_Authentications.*Framed-IP-Address=.*)|([A-Za-z0-9].*CISE_RADIUS_Accounting.*Framed-IP-Address=.*)

Username Regex
User-Name=([a-zA-Z0-9\@\-\\/\\\._]+)|UserName=([a-zA-Z0-9\@\-\\/\\\._]+)

Address Regex
Framed-IP-Address=([0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3})

 

ISEサーバーをサーバー モニタリングに追加します。

  • Device > ユーザー ID > ユーザー マッピングを選択します。
  • サーバー モニタリングにて、追加をクリックします。
  • 名前と内容は自由に入力します。
  • タイプでは、Syslog Senderを選択します。
  • ネットワーク アドレスにはCisco ISEのIPアドレスを入力します。
  • 接続タイプはUDPを選択します。
  • フィルタにはCisco ISEを選択します。
  • デフォルト ドメイン名にはNetbiosドメイン名、もしくは、環境に即した情報を入力します。
  • OKをクリックして閉じ、Commitをクリックします。

Picture7.png

 

 

準備ができました。PAN-OS装置はCisco ISEからUser-ID情報を受け取れているはずです。以下のコマンドで動作確認をすることができます。

 

show user server-monitor state 
show user ip-user-mapping all type SYSLOG
test user-id user-id-syslog-parse
tail follow yes mp-log useridd.log

 

参考情報

Configuring Cisco ACS to send RADIUS Accounting directly to the firewall using Syslog
Configuring ISE to Forward User Login Events to CDA

 

著者: Marcos