PaloAlto防火墙使用ISE+AD域账户认证实现设备登录

已于 2023-06-16 15:46:47 修改
阅读量1k 收藏 4
点赞数
分类专栏: 笔记 文章标签: 网络 cisco
于 2023-05-02 23:41:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_50942850/article/details/122776489
版权

目录

环境

ISE 3.1
PaloAlto VM 11.0.0
Windows Server 2016
ISE已经加入AD域
使用的是Radius,不是TACACS+ !!!

PaloAlto配置部分

基础路由部分省略,默认防火墙到ISE的通信没有问题.

1, 配置Radius服务器
DEVICE - Server Profiles - RADIUS
如果想简单点认证协议可以选PAP,不需要证书可以直接跳过第二步证书相关操作

2, 证书配置部分:
在ISE的Administration - Certificates内将EAP认证的证书导出

导出证书即可,不需要私钥

将刚才在ISE上导出的证书导入PaloAlto

创建证书profile

3, 创建认证profile
配置Authentication Profile
4, 配置Admin角色
CLI有superuser, deviceadmin等,文末有链接可以查询官方解释,profile的名字需要记下来,在ISE里面的授权部分会用到该name

5, 最终调用认证profile
在这里插入图片描述

ISE配置部分

常规配置不提及,只说重点授权的部分
首先在Policy - Policy Elements - Dictionaries - System - Radius - RADIUS Vendors内配置一个新的Dictionary,配置如图属性

这里admin-role的value填写之前防火墙上admin role profile的name,这个属性一定要有,不然登录的时候显示not authorized

最后就可以用域账户登录测试了

参考文档:
Configure Cisco ISE with RADIUS for Palo Alto Networks
Configuring Panorama Admin Role and Cisco ISE
Administrative Role Types

Shawn-Hu
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
paloalto_PA_中文配置手册
04-28
paloalto_PA_中文配置手册
Palo alto 初始化配置
09-12
基础入门,其他更全面的文档后续会继续上传。如有版权问题请随时联系。
朝花夕拾6-Paloalto防火墙
最新发布
Robert19831218的博客
04-28 534
2.PA升级到10.2后DNS过滤行为发生改变,导致几台固定IP的Squid访问PA对查询DNS被认为存在恶意被bypass处理,而不是直接拒绝导致无法上网。各个据点及用户通过,internet或专线连接到DC的中心节点,经过Paloalto防火墙及代理服务器访问业务网站或各种Saas服务。3.默认黑名单的架构里对于app使用时要访问的地址存在动态变化,需要不定期抓URL添加到防火墙直放白名单的问题。公司给客户提供过多据点统一DC出口安全上网的解决方案,担当过这个服务的维护。IT设备与运维需大额投资。
Cisco ISE 加入AD踩坑经历
m0_50942850的博客
02-22 1928
年前做实验需要ISE使用账号做认证,但是发现怎么也加入不了,各种google后总结如下: 一,SRV记录 一般来讲,域控制器和DNS会在同一台服务器上(可能不会,但我的实验环境是在同一台上),DNS服务器需要有对应的SRV记录,否则加时会有解析问题。 1.1 域控制器(DNS服务器)网卡设置 DNS写本机,写127.0.0.1貌似不行,要写提供DNS服务的网卡地址 2.1 使用cmd命令自动注册SRV记录 下图时注册之后的SRV记录 我在网上查的有2种cmd命令可以自动注册: (1)net lo
Palo Alto FW HA 配置
dengnuo9001的博客
08-07 787
转载于:https://www.cnblogs.com/eccom/p/11314755.html
ISE与WLC集成
凯歌响起的博客
07-27 277
wlc与ise的集成
jwt认证机制优势和原理_三分钟带你了解JWT认证
weixin_39653733的博客
11-23 661
目录一、JWT简介二、JWT认证和session认证的区别三、JWT认证流程四、JWT组成五、JWT使用场景一、JWT简介JSON Web Token(JWT)是一个开放的标准(RFC 7519),它定义了一个紧凑且自包含的方式,用于在各方之间作为JSON对象安全地传输信息。由于此信息是经过数字签名的,因此可以被验证和信任。更多信息可以查看官网:https://jwt.io/introductio...
Paloalto 下一代防火墙 WEB界面参考指南(中文)
05-27
Paloalto 下一代防火墙 WEB界面参考指南,提供如何使用WEB界面信息功能。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。...
Paloalto下一代防火墙 WildFire管理员指南(中文)
05-27
Paloalto下一代防火墙 WildFire管理员指南,介绍了如何配置你的Paloalto下一代防火墙提交样本至WildFire 云,以及如何管理在专有云或者混合云部署中使用的WF-500设备。。。。。。。。。。。。。。。。。。。。。。。...
Palo Alto 防火墙排错实验手册
03-22
LAB_GUIDE_Softcopy_Proof_PAN_EDU_330_10.2_Version_A_Lab Palo Alto 防火墙排错的实验手册,学习LAB相当完美了
paloalto MIB库,可用于SNMP监控。
05-17
标题中的“paloalto MIB库”是指Palo Alto Networks为自己的防火墙和安全设备开发的一系列MIB文件。这些MIB文件允许管理员通过SNMP协议获取设备的详细信息,进行故障排查、性能分析和自动化管理。 描述中的“可用于...
Paloalto8.0配置指南
05-30
Pan OS Web 界面参考及配置指南,资料很全,供学习参考。
Paloalto管理指南(中文)
01-14
Paloalto管理指南(中文) 下一代防火墙,七层防护,数字签名。
PALOALTO中文手册
12-23
下一代防火墙Paloalto中文操作手册。
palo alto维护手册
06-18
palo alto防火墙基础配置手册,对于入门的兄弟有很大的帮助
Paloalto 防火墙技术指导手册
06-13
Paloalto 防火墙技术指导手册详细介绍了设备的三种配置模式,设备上架安装方法,策略配置方法,报告生成方法
ISE 第一次登录web报错
good_night__的博客
10-01 588
ISE装好后,在Web登录输入账户密码后显示 Invalid username or password. Please contact your system administrator for assistance. 进入后台,重置密码 application reset-passwd ise admin 如下报错的话 Error! Application needs to be running inorder to reset password. 查看服务状态 show application stat
Palo Alto 防火墙配置Nat详解
热门推荐
angus_he的博客
08-07 1万+
NAT策略的区选择基于NAT前地址区 1、snat,主要用于防火墙内部用户访问外网 举例如下所示: ps:在源地址转换中,转换类型有静态ip,在这种情况下,内部的一个服务器私有地址被转为一个公网地址来上网;如果勾选了双向,外部用户可以通过该公网地址来访问内部的服务器。但是静态ip模式的优先级比较低,如果想让该策略生效,需要把该策略放到最前面。 ...
防火墙双机热备配置篇(负载分担模式)
weixin_45254043的博客
01-17 2264
防火墙双机热备配置案例
防火墙策略管理工具 palo alto cisco
07-25
引用\[1\]:参考文档: Configure Cisco ISE with RADIUS for Palo Alto Networks Configuring Panorama Admin Role and Cisco ISE Administrative Role Types。 引用\[2\]:您可以按照以下两种模式来设置防火墙的 HA: 主动/被动 — 一个防火墙主动管理通信,而另一个防火墙保持同步并随时准备在主动设备发生故障时转换为主动状态。在此配置中,两个防火墙共享相同的配置设置,一台主动管理通信,直到发生路径、链接、系统或网络故障。当主动防火墙发生故障时,被动设备将无缝接管并实施相同的策略,以维持网络的安全性。主动/被动高可用性在 Virtual Wire、第 2 层和第 3 层部署中受支持。主动/主动 — HA 对中的两个防火墙都是主动设备,同时处理通信,并且同步处理会话设置和会话所有权。两个防火墙会分别获取会话表及路由表,并彼此进行同步。主动/主动高可用性在 Virtual Wire、第 2层和第 3 层部署中受支持。处于主动/主动 HA 模式的防火墙不支持 DHCP 客户端。而且,仅主动-主要防火墙具备 DHCP 中继功能。主动-辅助防火墙会丢弃其收到的 DHCP 广播数据包。 。 引用\[3\]:主动/主动模式下,HA 对可用于临时处理通信,且其处理的通信量较一个防火墙正常情况下处理的更大。但这并非绝对的,原因是如果一个防火墙发生故障,流量便会重定向流至HA 对中的另一道防火墙。您的设计必须让另一个防火墙能够处理最大通信负载,同时启用内容检查。如果设计为另一个防火墙订阅的通信处理能力过大,则可能导致高延迟和/或应用程序故障。 。 问题:防火墙策略管理工具 palo alto cisco 回答: Palo Alto Networks和Cisco都提供了用于管理防火墙策略的工具。Palo Alto Networks提供了Panorama,它是一种集中式的网络安全管理平台,可以用于集中管理多个Palo Alto Networks防火墙设备。通过Panorama,管理员可以轻松地配置和监控防火墙策略,并实施一致的安全策略。而Cisco提供的策略管理工具包括Cisco Security Manager (CSM)和Cisco Adaptive Security Device Manager (ASDM)。CSM是一种集中式的安全管理解决方案,可以用于管理多个Cisco防火墙设备,并提供了可视化的界面和自动化的配置功能。ASDM是一种基于图形界面的设备管理工具,可以用于管理单个Cisco防火墙设备。这些工具都可以帮助管理员简化防火墙策略的管理和配置。 #### 引用[.reference_title] - *1* [PaloAlto防火墙使用ISE+AD账户认证实现设备登录](https://blog.csdn.net/m0_50942850/article/details/122776489)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [Palo Alto PAN-OS Active/Passive HA 配置文档](https://blog.csdn.net/netgc/article/details/122086124)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值