※この記事は以下の記事の日本語訳です。
Configuring Administrator Authentication with Windows 2008 RADIUS Server (NPS/IAS)
https://live.paloaltonetworks.com/t5/Configuration-Articles/Configuring-Administrator-Authentication...
概要
本文書はWindows 2008 RADIUS サーバーを使用した管理者認証を設定する手順を記載します。
設定を行うための前提条件:
- 管理インターフェースからのL3接続、あるいはデバイスのRADIUSサーバーへのサービス ルート
- ドメイン アカウントを確認できるWindows 2008サーバー
手順
パート 1:Palo Alto Networksファイアウォールの設定
- [Device] > [サーバー プロファイル] > [RADIUS]に移動し、RADIUS サーバー プロファイルを追加します。

- [Device] > [認証プロファイル]を開き、認証プロファイルを追加します。

- [Device] > [管理者ロール]に移動し、管理者ロールを追加します。今回の場合は仮想システム用(vsys)の管理者ロールとし、デバイス全体への適用はしません。

- [Device] > [アクセス ドメイン]に移動し、アクセスドメインを追加します。

- [Device] > [セットアップ[ > [管理] > [認証設定]を開き、上記で作成した、RADIUSの認証プロファイルが選択されていることを確認します。

- [Device > [管理者を開き、認証される必要のあるユーザーが予め定義されていないことを確認します。

- コミットをクリックして、設定を反映させます。
パート 2:Windows 2008 serverの設定 (Server RoleとしてNPS(Network Policyand Access Services)が必要です)

- [Start] > [Administrative Tools] > [Network Policy Server]をクリックして、NPS設定画面を開きます。

- Palo Alto NetworksデバイスをRADIUSクライアントとして追加します。
- [RADIUS Clients and Servers]を開きます。
- [RADIUS Clients]を選択します。
- 右クリックして、[New RADIUS Client]を選択します。

注:[Name and Address]のFriendly name:とAddress、[Shared secret:]を追加するだけです。[Vendor name:]は標準設定の"RADIUS Standard"のままにしておきます。
- RADIUS Clientを追加した後の一覧は、以下のようになります:

- [Policies]に移動し、[Connection Request Policies]を選択します。 Windowsユーザーを認証するポリシーが設定/チェックされているかを確認します。
- [Overview]タブを確認し、ポリシーが有効になっていることを確認します。

- [Conditions]タブを確認します。

- [Settings]タブを確認し、ユーザーの認証方法を確認します。

- [Network Policies]上で右クリックし、新しいポリシーを追加します。

- [Policy name:]を入力します。

- [Conditions]タブを開き、認証することができるユーザーを選択します(グループによる指定が望ましい)。

- [Constraints]タブを開き、"Unencrypted authentication (PAP, SPAP)"が有効になっていることを確認します。

- [Settings]タブに移動し、ユーザーに正しい管理者ロールとアクセスドメインが割り当てられるよう、VSA (ベンダー固有属性)を設定します。
- [RADIUS Attributes]から"Vendor Specific"を選択します。

- 右側の画面にて、[Add]ボタンをクリックします。
- [Vendor:]ドロップダウン リストから"Custom"を選択します。
- [Attributes:]リスト内にある唯一の選択肢が、"Vendor-Specific"の状態になります。

- [Add]ボタンをクリックします。The Attribute Information ウィンドウを開きます。
- 左側にある[Add]ボタンをクリックして、Vendor-Specific Attribute Information ウィンドウを開きます。

- VSAを設定します。
- [Enter Vendor Code]を選択し、"25461"を入力します。
- "Yes. It conforms"を選択すると、設定した属性が、RADIUS RFCでの"Vendor Specific Attributes"の定義に準拠することになります。
- "Configure Attribute…"をクリックします。
- 管理者ロールの[Vendor-assigned attribute number:]は"1"とします。
- [Attribute format:]は"String"を選択します。
- [Attribute value:]は管理者ロールの名前のことであり、今回は"SE-Admin-Access"を入力します。

- [OK]をクリックします。
- [Add]ボタンをクリックして、2つ目の属性を必要に応じて設定します。[Vendor-assigned attribute number:]の"2"はアクセスドメイン用となります。

- ユーザーは、"User-Group 5"に設定する必要があります。
注:グループは手動で入力して、該当するポリシーの中で使うことができます。
- 異なるアクセス/認証オプションが、(一般的なアクセスのために)既知のユーザーを使用する場合だけでなく、より安全なリソース/ルールを適用するためにRADIUSが返したグループでも利用することができます。
- 属性の一覧は、以下のように表示されます。

- すべてのオプションが保存されるまで、[OK]をクリックし続けます。

- 既存のポリシーを右クリックして、実施したいアクションを選択することもできます。

パート 3:設定の確認
ファイアウォール上での確認:
- Palo Alto Networksファイアウォール上で、誤ったパスワードを使用して、以下のシステム ログが表示されるかを確認します。[Monitor] > [ログ] > [システム]

- 正しいパスワードを使用すると、ログインは成功して以下のログ エントリーが表示されます。

- アクセス権を確認します。

NPS側での確認:
- イベント ビューワーから(Start > Administrative Tools > Event Viewer)、 以下を探します:
- Security Event 6272, “Network Policy Server Granted access to a user.”
- Event 6278, “Network Policy Server granted full access to a user because the host met the defined health policy.”
- Windows ログ内のセキュリティー ログを選択します。
- Task Categoryの中で “Network Policy Server”を探します。
参照:
類似の設定方法として、以下のドキュメントも参照してください。
著:srommens