Foro en Español

Reply
Occasional Contributor II
Posts: 12
Registered: ‎12-29-2015

Integracion PaloAlto clearpass

Hola!!

 

Estoy llevando a cabo la integración de un paloalto v7.0.1 con clearpass 6.5

He seguido una guia que esta en uno de los post que se llama "ClearPass and PANW Integration TechNote (V5 May 2015)" pero no veo que llegue nada de info por parte del clearpass

He seguido los pasos al detalle, y al final de la guia lanza el comando "show user ip-user-mapping all" para ver los usuarios logados y a mi no me muestra nada.

Las pruebas las estoy haciendo para un servicio de 802.1x cableado, con un sw cisco y con autenticación contra un directorio activo. En el servicio tengo una politica de enforcement con dos acciones, una para cambiar de vlan al puerto del sw y otra para que mande la info al PA, un perfil que en la guia llama "PAN-update-node" que tiene la IP del PA.

Cuando conecto un usuario por 802.1x en el sw, en el access tracker veo que va al servicio correcto y que aplica los dos perfiles creados, pero sin embargo no veo que llegue nada al PA

No se si podeis ayudarme a ver que puede estar pasando

 

Muchas gracias de antemano

 

Saludos

Miguel

Moderator
Posts: 881
Registered: ‎07-29-2010

Re: Integracion PaloAlto clearpass

Aseugurate de que estás recibiendo accounting en el ClearPass y de que tienes marcada la opción de "device tracking" en el switch Cisco.

 

slaudos

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Occasional Contributor II
Posts: 12
Registered: ‎12-29-2015

Re: Integracion PaloAlto clearpass

Hola Samuel

 

Gracias por tu respuesta, acabo de habilitar el device tracking en el switch, que no lo tenia.

ip device tracking

Y te adjunto pantallazo del accounting.

Sigo sin ver el usuario en el PA... :(

 

Un saludo

Miguel

MVP
Posts: 4,097
Registered: ‎07-20-2011

Re: Integracion PaloAlto clearpass

Tienes interim accounting habilitado ?
Administration > Server Manager >(Select the Server) > Server Configuration > Service Parameters
Thank you

Victor Fabian
Lead Mobility Engineer @ Integration Partners
AMFX | ACMX | ACDX | ACCX | CWAP | CWDP | CWNA
Moderator
Posts: 881
Registered: ‎07-29-2010

Re: Integracion PaloAlto clearpass

Además de lo que dice Victor, mira a ver que tienes habilitado "insight" en ClearPass. Cuando tengas todo configurado, reinicia el proceso de async-netd (con cuidado, que puede producir un pequeño corte) en Administration > Server Manager > Server Configuration. Eso no debería hacer falta, pero me he encontrado algunas versiones donde hasta que no he reiniciado este proceso no ha arrancado el envío de información al PAN.

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Occasional Contributor II
Posts: 12
Registered: ‎12-29-2015

Re: Integracion PaloAlto clearpass

Hola

 

Gracias por vuestras respuestas.

A la pregunta de Victor, si que tengo interim accounting habilitado. Dentro del desplegable de "Radius server" en (Administration --> Server Manager --> Server Configuration --> Service parameters) el parametro "Log Accounting Interim-Update Packets" esta en TRUE como indicaba el procedimiento

A la indicación de Samuel, si que tengo el check marcado de "Enable Insight", hay otro de que pone "Enable as Insight Master" que tengo deshabilitado (aunque tambien he probado en activarlo y nada)

He entrado en la parte de Service control dentro de la configuración de servidor, y he reiniciado los servicios:

Async DB write service

Async network services

 

He probado de nuevo el acceso, en el summary aparece lo del archivo adjunto, en las politicas de enforcement aparece:

PAN-update-node-paloalto, asignasvlan1

El usuario se conecta bien contra el AD, y aplica bien el servicio y las politicas de enforcement, pero parece que no manda nada al PA, o por lo menos con el comando show user ip-user-mapping all no veo a ningun usuario... y segun la doc, deberia verlo

 

Gracias de nuevo 

Saludos

Miguel

Moderator
Posts: 881
Registered: ‎07-29-2010

Re: Integracion PaloAlto clearpass

 Por lo que parece tienes todo listo. Asegurate de que el usuario que has creado en ClearPass tiene permisos para escribir en la API del firewall (y que tiene permisos para escribir desde esa interfaz).

 

saludos

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Occasional Contributor II
Posts: 12
Registered: ‎12-29-2015

Re: Integracion PaloAlto clearpass

Hola Samuel

 

El usuario que estoy usando tiene permisos para escribir en la API, he mirado los logs del CPPM y me da un timeout cuando intenta autenticar.

 

2016-02-08 13:30:39,032 DEBUG root pactrlmonitprofile Fetching auth_token using auth_URL=https://10.192.196.237/api/?type=keygen&user=PruebaAruba&password=$$$$$$$
2016-02-08 13:30:39,032 DEBUG root http2util Sending data=None|headers={}|uri=https://10.192.196.237/api/?type=keygen&user=PruebaAruba&password=$$$$$$$$$|method=POST

 

2016-02-08 13:30:36,027 WARNING root sessionrestrictionhandler Request handling is already in progress. Not processing requests at this time.
2016-02-08 13:30:38,053 WARNING root http2util Fatal err:timeout('timed out',) 10.192.196.237 https://10.192.196.237/api/?type=keygen&user=PruebaAruba&password=$$$$$$$$$ <PADevice_AuthToken_POST>
2016-02-08 13:30:38,053 WARNING root http2util Caught exception
Traceback (most recent call last):

 

No se porque da el timeout... Estoy usando solamente la interface de management del CPPM para el tráfico... entiendo que no debe afectar el que use esta interface y no la de datos como tal, porque el paloalto tiene direccionamiento de esta misma red... es decir que la red de managmet del CPPM y la de PA es la misma... Desde mi PC conectado en esta misma red, si lanzo la petición que intenta el CPPM contra el PA con el usuario y contraseña definido me aparece el siguiente mensaje...

 

<response status="success">
<result>
<key>
LUFRPT1vVU9ESFF1YWVzZTk0MENPYXpNWDhIV3pBT009anJ6eVBVUmNIbEx5eTgyT0pVQUs3VG5TemhMN0hLQ0JIZnY5UXVYZVVlZz0=
</key>
</result>
</response>

 

No se si te ocurre algo

 

Saludos

Miguel

Moderator
Posts: 881
Registered: ‎07-29-2010

Re: Integracion PaloAlto clearpass

Una vez me pasó algo parecido y lo que ocurría es que el Firewall no me permitía llegar por HTTPS desde ClearPass a su "gestión" por esa interfaz. No sé si podrá estar ocurriendote lo mismo...

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Occasional Contributor II
Posts: 12
Registered: ‎12-29-2015

Re: Integracion PaloAlto clearpass

Buenos Días

 

Como no daba con la solución, abrí un caso con Aruba. Tras varias pruebas sin saber que estaba pasando, el ingeniero que me atendió el caso, encontro otra incidencia identica despues de un tiempo.

Al final el problema era de la versión de PaloAlto!!! La 7.0.1 tiene un bug de mal funcionamiento a traves de XML API que se resuelve en la 7.0.2. Actualizando el firewall y sin cambiar nada de la configuración me encuentro con que ya funciona.

Espero que esto os ayude!!

 

Saludos y gracias a todos los que habeis colaborado!!

Search Airheads
Showing results for 
Search instead for 
Did you mean: