环境

ISE 3.1
PaloAlto VM 11.0.0
Windows Server 2016
ISE已经加入AD域
使用的是Radius，不是TACACS+ ！！！

PaloAlto配置部分

基础路由部分省略，默认防火墙到ISE的通信没有问题.

1, 配置Radius服务器
DEVICE - Server Profiles - RADIUS
如果想简单点认证协议可以选PAP，不需要证书可以直接跳过第二步证书相关操作

2, 证书配置部分：
在ISE的Administration - Certificates内将EAP认证的证书导出

导出证书即可，不需要私钥

将刚才在ISE上导出的证书导入PaloAlto

创建证书profile

3, 创建认证profile

4, 配置Admin角色
CLI有superuser, deviceadmin等，文末有链接可以查询官方解释，profile的名字需要记下来，在ISE里面的授权部分会用到该name

5, 最终调用认证profile

ISE配置部分

常规配置不提及，只说重点授权的部分
首先在Policy - Policy Elements - Dictionaries - System - Radius - RADIUS Vendors内配置一个新的Dictionary，配置如图属性

这里admin-role的value填写之前防火墙上admin role profile的name，这个属性一定要有，不然登录的时候显示not authorized

最后就可以用域账户登录测试了

参考文档：
Configure Cisco ISE with RADIUS for Palo Alto Networks
Configuring Panorama Admin Role and Cisco ISE
Administrative Role Types