21T2 Clearpass Przypisywanie Roli – LUR

Aruba – Local User Role

Koncepcja roli w rozwiązaniach Aruba, jest bardzo pomocna w rozbudowanych wdrożeniach. Chcesz wiedzieć dlaczego?

Uproszenie przypisywania profilu urządzenia/użytkownika:

Jeżeli wdrażamy 802.1x lub listy dostępu to potrzebujemy przygotowane reguły powiązać z danym objektem sieciowym. Typowo jest to VLAN.

W rozbudowanych drożeniach gdzie mamy wiele różnych VLAN’ów świadczących ten sam poziom dostępu, ale w różnych lokalizacjach przypisanie do VLAN’u jest problematyczne we wdrożeniu i zarządzaniu.

Wyobraź sobie, że potrzebujesz podłączyć nową lokaliazję do obecnej sieci, gdzie w polityce Radiusa przekazujesz identyfiakatory VLAN. W nowej lokalizacji masz nowy VLAN, nie uwzględniony w polityce Radiusa.

W takim przypadku w przy dodawaniu nowego VLAN’u dostepowego będziesz zmuszony do modyfikacji polityki centralnej na Radiusie. To jest problematyczne i rodzi ryzyko popełnienia błędu w polityce centralnej dotyczącej całej sieci i wszystkich użytkowników.

Żeby ten problem rozwiązać Aruba wymyśliła pojęcie Roli na urządzeniu kocowym, przełączniku, punkcie dostępowym.

Dzięki temu przypisujesz z systemu Radius, nie nr VLAN’u, a nazwę roli.

Dwie możliwości przypisywania Aruba Role:

1. LUR: Local User Role

Jest to rola konfigurowana na urządzeniu końcowym. Zazwyczaj z centralnego systemu, typowo Airwave lub Central.

Taki scenariusz umożliwia przypisanie różnych identyfikatorów VLAN’ów dla różnych budynków. W przypadku zmiany nr VLAN’ów nie musimy modyfikować polityki Radius.

2. DUR: Downloadable User Role

Rozszerzeniem funkcjonalności powyżej opisanej, jest możliwość dynamicznego ściągania sobie konfiguracji roli z systemu Clearpassa.

Użycie tej funkcjonalności jest zasadane jeżeli nie zarządzamy centralnym systemem konfiguracji, a jedynie Clearpass’em. W takim przypadku przełącznik lub AP ściąga sobie konfigurację roli dynamicznie z Clearpassa.

Przykład konfiguracji lokalnej roli na przełączniku

NetAdminPro.pl(config)# aaa authorization user-role name nap
NetAdminPro.pl(user-role)# vlan-id 31
NetAdminPro.pl(user-role)# vlan-id-tagged 4000

Przykład konfiguracji atrybutu roli na Clearpass’e:

Widać tutaj że w przypadku użycia tego profilu, wysłana zostanie informacja do urządzenia Aruby o nazwie atrybutu Aruba-User-Role i wartości „nap”.

Ta wartość musi się zgadzać z nazwą roli uprzednio skonfigurowaną na punkcie dostępowym. W przypadku przełącznika wysłać trzeba inną zazwę atrybutu.

PRZYKŁAD POLITyki enforcement NA CLEARPASS’E:

Utworzony wcześniej profil, łączę z regułami, w tym przykładzie jeżeli dla użytkownika lub urzadzenia istnieje nazwa roli wewnętrznej w Clearpassie, wtedy wysłany zostanie atrybut z profilu o znazwie „Netadminpro.pl-NAP” (omówiony powyżej)

Podsumowanie

Clearpass nie przypadkiem jest używany do zaawansowanych wdrożeń, nie tylko 802.1x, ale także Tacacs, aplikacyjnych i innych.

Wynika to z faktu przemyślanej jego konstrukcji logicznej, wzbogaconej przez liczne gotowe integracje, dzięki temu można budować zrozumiałe rozległe konfiguracje logiki dostępu do sieci.

Opieranie się na rolach, zarówno wewnętrznych, jak i zewnętrznych zostało też zaadopowane w innych rozwiązaniach typu CISCO ISE, ale w moim odczuciu w przypadku Aruby dobrze się integruje z koncepcją roli na urządzeniach Aruby.

Nie jest to nic odkrywczego, że działanie rozwiązania Radius i NAD działa najlepiej w ramach danego producenta, tak to zazwyczaj wygląda. Można oczywiście łączyć różne rozwiązania, ale jest to bardziej pracochłonne.