Après avoir configuré l'intégration de VMware Aria Operations for Logs à NSX Identity Firewall (IDFW), ajoutez un fournisseur d'identité tiers prédéfini, tel que GlobalProtect ou ClearPass à la configuration. Vous pouvez également ajouter un fournisseur d'identité personnalisé.
Conditions préalables
- Vérifiez que vous êtes connecté à l'interface utilisateur Web de VMware Aria Operations for Logs en tant qu'utilisateur super administrateur ou en tant qu'utilisateur associé à un rôle disposant des autorisations appropriées. Pour plus d'informations, reportez-vous à la section Créer et modifier des rôles. Le format de l'URL de l'interface utilisateur Web est https://operations-for-logs-host, où operations-for-logs-host est l'adresse IP ou le nom d'hôte du dispositif virtuel VMware Aria Operations for Logs.
- Vérifiez que vous disposez d'une configuration d'intégration IDFW dans VMware Aria Operations for Logs.
Procédure
Résultats
VMware Aria Operations for Logs analyse les journaux d'authentification de votre fournisseur d'identité, extrait les informations de mappage entre l'ID et l'adresse IP de l'utilisateur et envoie les données à NSX Manager. En fonction de ces données, IDFW définit des règles de pare-feu basées sur l'identité et applique les règles aux utilisateurs pour le contrôle d'accès.
Exemple : regex Analyse des journaux GlobalProtect et ClearPass
Prenez l'exemple de journal suivant d'un fournisseur GlobalProtect :
Apr 8 14:35:19 PA-500-GW-1-EAT1 1,2021/04/08 14:35:19,009401010000,USERID,login,2049,2021/04/08 14:35:19,vsys1,10.20.30.40,vmware\john,UID-SJC31,0,1,10800,0,0,agent,,79021111,0x8000000000000000,0,0,0,0,,PA-500-GW-1-EAT1,1,,2021/04/08 14:35:28,1,0x80000000,vmware\john
Le tableau suivant montre le mappage entre les modèles regex et les valeurs dans l'exemple de journal, que VMware Aria Operations for Logs envoie à NSX Manager.
Option Modèle regex Valeur du journal Nom d'utilisateur \\(\w+)\, john
Adresse IP \,(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})\, 10.20.30.40
Domaine \,(\w+)\\ vmware
Type d'événement USERID\,(\w+)\, login
Prenons l'exemple de journal suivant d'un fournisseur ClearPass :
2021-08-19 13:47:46,797 10.10.100.10 Insight Logs 10000111 1 0 Auth.Username=smith,Auth.Service=SOF6 vrealize SSID EAP-TLS Service,Auth.NAS-IP-Address=10.02.20.02,Auth.Host-MAC-Address=111aaaaab10b,Auth.Protocol=RADIUS,Auth.Login-Status=9002,Auth.Enforcement-Profiles=[Deny Access Profile]
Le tableau suivant montre le mappage entre les modèles regex et les valeurs dans l'exemple de journal, que VMware Aria Operations for Logs envoie à NSX Manager.
Option Modèle regex Valeur du journal Nom d'utilisateur Username=(\w+) smith
Adresse IP Address=(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}) 10.02.20.02
Domaine SOF6\s+(\w+) vrealize
Type d'événement Auth.(\w+)-Status= Login