PaloAlto防火墙使用ISE+AD域账户认证实现设备登录

已于 2023-06-16 15:46:47 修改
阅读量957 收藏 4
点赞数
分类专栏: 笔记 文章标签: 网络 cisco
于 2023-05-02 23:41:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_50942850/article/details/122776489
版权

目录

环境

ISE 3.1
PaloAlto VM 11.0.0
Windows Server 2016
ISE已经加入AD域
使用的是Radius,不是TACACS+ !!!

PaloAlto配置部分

基础路由部分省略,默认防火墙到ISE的通信没有问题.

1, 配置Radius服务器
DEVICE - Server Profiles - RADIUS
如果想简单点认证协议可以选PAP,不需要证书可以直接跳过第二步证书相关操作

2, 证书配置部分:
在ISE的Administration - Certificates内将EAP认证的证书导出

导出证书即可,不需要私钥

将刚才在ISE上导出的证书导入PaloAlto

创建证书profile

3, 创建认证profile
配置Authentication Profile
4, 配置Admin角色
CLI有superuser, deviceadmin等,文末有链接可以查询官方解释,profile的名字需要记下来,在ISE里面的授权部分会用到该name

5, 最终调用认证profile
在这里插入图片描述

ISE配置部分

常规配置不提及,只说重点授权的部分
首先在Policy - Policy Elements - Dictionaries - System - Radius - RADIUS Vendors内配置一个新的Dictionary,配置如图属性

这里admin-role的value填写之前防火墙上admin role profile的name,这个属性一定要有,不然登录的时候显示not authorized

最后就可以用域账户登录测试了

参考文档:
Configure Cisco ISE with RADIUS for Palo Alto Networks
Configuring Panorama Admin Role and Cisco ISE
Administrative Role Types

Shawn-Hu
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
身份危机:安全领的最大奖项
12-26 1226
换句话说,在两年内,Azure AD 增加了大约 10 倍的用户(或多或少),并且拥有的付费组织数量是 Okta 在七年内赢得的数量的 20 倍。随着生态系统的发展,挫败感开始蔓延:集成很脆弱,管理 AD 成为 IT 管理员团队的全职工作,非 Microsoft 应用程序和设备很难纳入其中,并且与防火墙之外的对象进行交互网络之外的情况很艰难。随着 CIEM 和工作负载身份,新的、服务相对不足的类别正在出现,但该领的许多上市公司已被私有化,并且唯一云原生上市公司一直在努力应对高管人员流动的浪潮。
Paloalto-通过NPS(radius)的记账功能实现用户识别
网络工程师专栏
05-12 1183
通过NPS(radius)的记账功能实现用户识别 三方平台比如VPN、无线控制器等通过radius认证时,AD的安全日志并没有隧道内地址或者DHCP分配地址的内容,导致NPS认证的用户无法直接通过域控安全日志进行用户识别。 但是如果NPS服务器开启记账功能后,实际上三方平台都会通过radius向NPS推送记账的详细信息,其中也会包含分配的ip地址或者隧道内的地址信息,我们可以利用powershell脚本监控account日志,抓取用户与IP的对应关系,通过XML API形式,推送给PA防火...
Paloalto8.0配置指南
05-30
Pan OS Web 界面参考及配置指南,资料很全,供学习参考。
PALOALTO中文手册
12-23
下一代防火墙Paloalto中文操作手册。
paloalto_PA_中文配置手册
04-28
paloalto_PA_中文配置手册
paloalto防火墙执行初始配置
weixin_34221276的博客
04-22 1万+
1.默认情况下,防火墙的 IP 地址为 192.168.1.1,用户名/密码为 admin/admin。   为了安全起见,在继续执行其他防火墙配置任务之前,必须更改这些设置。必须从 MGT 接口(即使计划不使用此接口进行防火墙管理),   或使用直接连接到防火墙控制台端口的串行连接来执行这些初始配置任务。   1)安装防火墙,并连接电源。   2)配置好MGT端口的IP地址、掩码、默认网...
Palo Alto 防火墙配置Nat详解
热门推荐
angus_he的博客
08-07 1万+
NAT策略的区选择基于NAT前地址区 1、snat,主要用于防火墙内部用户访问外网 举例如下所示: ps:在源地址转换中,转换类型有静态ip,在这种情况下,内部的一个服务器私有地址被转为一个公网地址来上网;如果勾选了双向,外部用户可以通过该公网地址来访问内部的服务器。但是静态ip模式的优先级比较低,如果想让该策略生效,需要把该策略放到最前面。 ...
防火墙双机热备配置篇(负载分担模式)
weixin_45254043的博客
01-17 2128
防火墙双机热备配置案例
Palo Alto网络防火墙日志监控
运维有小邓
03-21 433
通过快速设置和高效的报表和告警,EventLog Analyzer成为管理和分析Palo Alto Networks防火墙日志的理想工具。
palo alto维护手册
06-18
palo alto防火墙基础配置手册,对于入门的兄弟有很大的帮助
Paloalto管理指南(中文)
01-14
Paloalto管理指南(中文) 下一代防火墙,七层防护,数字签名。
Paloalto 防火墙技术指导手册
06-13
Paloalto 防火墙技术指导手册详细介绍了设备的三种配置模式,设备上架安装方法,策略配置方法,报告生成方法
Palo alto 防火墙运维手册
12-05
Palo alto 防火墙运维手册》,基于Palo alto 防火墙设备,对设备的详细使用介绍,详细的操作技巧,运维管理必备的命令。
Palo alto 初始化配置
09-12
基础入门,其他更全面的文档后续会继续上传。如有版权问题请随时联系。
Paloalto下一代防火墙 WildFire管理员指南(中文)
05-27
Paloalto下一代防火墙 WildFire管理员指南,介绍了如何配置你的Paloalto下一代防火墙提交样本至WildFire 云,以及如何管理在专有云或者混合云部署中使用的WF-500设备。。。。。。。。。。。。。。。。。。。。。。。...
Paloalto 下一代防火墙 WEB界面参考指南(中文)
05-27
Paloalto 下一代防火墙 WEB界面参考指南,提供如何使用WEB界面信息功能。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。...
PaloAlto下一代防火墙视频教程.zip
07-14
目录网盘文件永久链接 五天 十课程
Palo Alto 防火墙排错实验手册
03-22
LAB_GUIDE_Softcopy_Proof_PAN_EDU_330_10.2_Version_A_Lab Palo Alto 防火墙排错的实验手册,学习LAB相当完美了
红队攻击:初始访问
07-12 3923
【红队攻击】文章系列第【3】篇:《初始访问》
paloalto vmware
最新发布
08-19
Palo Alto VM是一种虚拟机映像,用于测试和部署Palo Alto Networks防火墙。根据引用,您可以按照以下步骤在您的实验环境中部署和测试Palo Alto VM: 1. 首先,您需要将Palo Alto VM的两个文件(PA-VM-6.0.0.ovf和PA-VM-6.0.0-disk1.vmdk)导入到VMware Workstation中。 2. 确保您的主机是64位的,并且启用了Intel VT-x,这是在Workstation中运行这个虚拟机所需要的条件。 3. 导入成功后,您可以在VMware Workstation中启动Palo Alto VM,然后进行测试和配置。 如果您在安装后遇到问题,可以参考引用中的故障排除指南来解决问题。这个指南将提供一些常见的问题和解决方法,以帮助您解决安装和配置Palo Alto VM时遇到的问题。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [Install and Configure Palo Alto VM in Vmware Workstation / ESXi](https://blog.csdn.net/netsec51sec/article/details/98956731)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* [Configure Palo Alto VM 6.0.0 in Vmware Workstation and ESXi](https://blog.csdn.net/netsec51sec/article/details/99700036)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值