Windows 2008 RADIUS サーバー (NPS/IAS) を使用した管理者認証の設定方法

※この記事は以下の記事の日本語訳です。

Configuring Administrator Authentication with Windows 2008 RADIUS Server (NPS/IAS)

https://live.paloaltonetworks.com/t5/Configuration-Articles/Configuring-Administrator-Authentication...

概要

本文書はWindows 2008 RADIUS サーバーを使用した管理者認証を設定する手順を記載します。

設定を行うための前提条件：

• 管理インターフェースからのL3接続、あるいはデバイスのRADIUSサーバーへのサービス ルート
• ドメイン アカウントを確認できるWindows 2008サーバー

手順

パート 1：Palo Alto Networksファイアウォールの設定

1. [Device] > [サーバー プロファイル] > [RADIUS]に移動し、RADIUS サーバー プロファイルを追加します。
   
2. [Device] > [認証プロファイル]を開き、認証プロファイルを追加します。
   
3. [Device] > [管理者ロール]に移動し、管理者ロールを追加します。今回の場合は仮想システム用（vsys）の管理者ロールとし、デバイス全体への適用はしません。
   
4. [Device] > [アクセス ドメイン]に移動し、アクセスドメインを追加します。
   
5. [Device] > [セットアップ[ > [管理] > [認証設定]を開き、上記で作成した、RADIUSの認証プロファイルが選択されていることを確認します。
   
6. [Device > [管理者を開き、認証される必要のあるユーザーが予め定義されていないことを確認します。
   
7. コミットをクリックして、設定を反映させます。

パート 2：Windows 2008 serverの設定 （Server RoleとしてNPS(Network Policyand Access Services)が必要です）

1. [Start] > [Administrative Tools] > [Network Policy Server]をクリックして、NPS設定画面を開きます。
   
2. Palo Alto NetworksデバイスをRADIUSクライアントとして追加します。
   1. [RADIUS Clients and Servers]を開きます。
   2. [RADIUS Clients]を選択します。
   3. 右クリックして、[New RADIUS Client]を選択します。
      
      注：[Name and Address]のFriendly name:とAddress、[Shared secret:]を追加するだけです。[Vendor name:]は標準設定の"RADIUS Standard"のままにしておきます。
3. RADIUS Clientを追加した後の一覧は、以下のようになります：
   
4. [Policies]に移動し、[Connection Request Policies]を選択します。 Windowsユーザーを認証するポリシーが設定/チェックされているかを確認します。
5. [Overview]タブを確認し、ポリシーが有効になっていることを確認します。
   
6. [Conditions]タブを確認します。
   
7. [Settings]タブを確認し、ユーザーの認証方法を確認します。
   
8. [Network Policies]上で右クリックし、新しいポリシーを追加します。
   
9. [Policy name:]を入力します。
   
10. [Conditions]タブを開き、認証することができるユーザーを選択します（グループによる指定が望ましい）。
    
11. [Constraints]タブを開き、"Unencrypted authentication (PAP, SPAP)"が有効になっていることを確認します。
    
12. [Settings]タブに移動し、ユーザーに正しい管理者ロールとアクセスドメインが割り当てられるよう、VSA （ベンダー固有属性）を設定します。
    
    1. [RADIUS Attributes]から"Vendor Specific"を選択します。
       
    2. 右側の画面にて、[Add]ボタンをクリックします。
    3. [Vendor:]ドロップダウン リストから"Custom"を選択します。
    4. [Attributes:]リスト内にある唯一の選択肢が、"Vendor-Specific"の状態になります。
       
    5. [Add]ボタンをクリックします。The Attribute Information ウィンドウを開きます。
    6. 左側にある[Add]ボタンをクリックして、Vendor-Specific Attribute Information ウィンドウを開きます。
    7. VSAを設定します。
       1. [Enter Vendor Code]を選択し、"25461"を入力します。
       2. "Yes. It conforms"を選択すると、設定した属性が、RADIUS RFCでの"Vendor Specific Attributes"の定義に準拠することになります。
       3. "Configure Attribute…"をクリックします。
       4. 管理者ロールの[Vendor-assigned attribute number:]は"1"とします。
       5. [Attribute format:]は"String"を選択します。
       6. [Attribute value:]は管理者ロールの名前のことであり、今回は"SE-Admin-Access"を入力します。
          
       7. [OK]をクリックします。
       8. [Add]ボタンをクリックして、2つ目の属性を必要に応じて設定します。[Vendor-assigned attribute number:]の"2"はアクセスドメイン用となります。
          
       9. ユーザーは、"User-Group 5"に設定する必要があります。
          注：グループは手動で入力して、該当するポリシーの中で使うことができます。
       10. 異なるアクセス／認証オプションが、（一般的なアクセスのために）既知のユーザーを使用する場合だけでなく、より安全なリソース／ルールを適用するためにRADIUSが返したグループでも利用することができます。
       11. 属性の一覧は、以下のように表示されます。
           
    8. すべてのオプションが保存されるまで、[OK]をクリックし続けます。
       
    9. 既存のポリシーを右クリックして、実施したいアクションを選択することもできます。
       

パート 3：設定の確認

ファイアウォール上での確認：

1. Palo Alto Networksファイアウォール上で、誤ったパスワードを使用して、以下のシステム ログが表示されるかを確認します。[Monitor] > [ログ] > [システム]
   
2. 正しいパスワードを使用すると、ログインは成功して以下のログ エントリーが表示されます。
   
3. アクセス権を確認します。
   

NPS側での確認：

1. イベント ビューワーから（Start > Administrative Tools > Event Viewer）、 以下を探します：
   • Security Event 6272, “Network Policy Server Granted access to a user.”
   • Event 6278, “Network Policy Server granted full access to a user because the host met the defined health policy.”
2. Windows ログ内のセキュリティー ログを選択します。
3. Task Categoryの中で “Network Policy Server”を探します。

参照：

類似の設定方法として、以下のドキュメントも参照してください。

• RADIUS VSA dictionary file for Cisco ACS - PaloAltoVSA.ini

著：srommens