Spis tresci z czasami poszczegolnych działań:
- Instalacja licencji – 0:50
- Konfiguracja serwera SMTP – 2:17
- Import certyfikatu do listy zaufanych – 3:08
- Konfiguracja portalu logowania gościa – 4.28
- Konfiguracja portalu restracji gościa – 6.54
- Dodanie wymagania akceptacji sponsora – 7:50
- Dodanie pola e-mail sponsora do formularza rejestracji gościa – 8:07
- Wyłączenie konieczności logowania sponsora – 11:18
- Zatwierdzenie konta gościa przez sponsora – 12:18
- Zalogowanie gościa do sieci – 13:00
- Podsumowanie – 13:06
Więcej miejsc do posłuchania:
Transkrypcja filmu:
Cześć, witam Cię w dzisiejszym odcinku.
Dzisiaj pokażę jak można skonfguracować portal gościnny w oparciu o Clearpass’a 6.8. Najpierw pokażę jak może wyglądać strona dostępu gościnnego w wersji klasycznej, a następnie pokażę jak może wyglądać scenariusz logowania gościa do naszej sieci firmowej, w oparciu o rolę sponsora.
Jest to pracownik firmy, najczęściej z kontem domenowym, który może zatwierdzić dostęp do siei gościnnej zaproszonej osoby na spotkanie.Zaczynamy od instalacji licencji, ponieważ jak klikniemy Clearpass Guets Access, to otrzymamy infrormacje, że brakuje właściwych licencji.
Instalacja licencji
Żeby zainstalować licencje, trzba wejść do Clearpass Policy Manager’a, a następnie w części administracja, serwer, licensing. Tutaj widzimy jakie licencje są zainstalowane. Nie ma żadnej z 3 kategorii licencji. Teraz zainstaluję licencję testową Entry. Licencję wklejamy od części activation key do części end enrtry license key.
Mamy wgraną licencje jak widać na 100 urządzeń . Przyjedziemy jeszcze do konfiguracji samego portalu, jedną rzecz warto zrobić tutaj na poziemie Clearpass Policy Managera.
Konfiguracja serwera pocztowego
Mianowicie konfigurację systemu mailowego, aby Clearpass mógł wysłać maile. Będzie to potrzebne do scenariusza dostępu gościnnego w oparciu o sponsora.
Żeby to zrobić ale trzeba przejść do zakładki external serwers, messaging setup i wpisujemy parametry serwera pocztowego ja akurat używam zenbox’a. Wpisujemy parametry serwera SMTP user name password i domyślny adres e-mail, który się będzie pojawiał wiadomości którą ClearPass wyśle.
Jeżeli używamy połączenia szyfrowanego czyli SSL lub StartTLS, w takim przypadku potrzebujemy się upewnić że certyfikat tego serwera jest zaufany dla Clearpass’a.
Mój serwer Pocztowy z którego korzystam jest dla Clearpass’a zaufany. Nie muszę nic więcej robić. Jeżeli jednak korzystasz z wewnętrznego serwera poczty to może być potrzebne dodanie certyfikatu tego serwera oraz użytych urzędów certyfikacji do listy certyfikatów zaufanych.
Żeby to zrobić trzeba klinknąć add w Certificate Trust List i zaimportować wymagane certyfikaty. Następnie należy się upewnić że zaimportowany certyfikat jest ważny, oraz że włączone jest zaufanie do tego certyfikatu.
Jeżeli nie będziecie mogli wysłać e-mail używając swojego serwera pocztowego, to prawdopodobnie powodem problemu jest brak zaufania do certyfikatu serwera pocztowego.
Żeby sprawdzić poprawność wysyłania e-maili, możemy kliknąć Send Test e-mail i wpisać testową wiadomość.
Konfiguracja portalu dla gościa.
Teraz przejdźmy do konfiguracji portalu gościnnego. Mamy tutaj najpierw krok w konfiguracji Pages i Weblogins. Zacznijmy od stworzenia podstawowej strony logowania, klikamy Create a new web login page, po prawej stronie na górze.
To co tutaj potrzebujemy wprowadzić to nazwę, ja wybiorę netadminpro_pl. Name to jest nazwa strony na poziomie ClearPass Guest, natomiast Page name, to jest nazwa używana w url’u strony.
Warto zwrócić uwagę na ustawienia producenta, każdy z producentów ma inny sposób realizacji przekierowania na captive portal.W przypadku Aruby jest to nazwa securelogin.arubanetworks.com.
W przypadku Cisco, jest to adres 1.1.1.1. Każdy producent realizuje to przekierowanie w inny sposób. Dlatego trzeba wybrać jaki producent będzie używany, żeby portal gościnny obsługiwał sposób realizacji logowania danego producenta
Nic tutaj więcej nie będę zmieniał. Na potrzeby tego pokazu, używam ustawień domyślnych, zmieniam jak naj mniej. Jeżeli będziecie mieli w przyszłości pytania w stosunku do swoich wymagań, piszcie w komentarzach, będę pomagał w ramach możliwości.
Możemy już wyświetlić stronę logowania dla gościa. Domyślna strona będzie wyglądała w ten sposób. Będę mógl podać login oraz hasło. To jest podstawowy tryb dostępu gościnnego.
Konfiguracja portalu autorejestracji gościa
To co mnie bardziej interesuje to scenariusz tworzenia konta gościa, w sposób automatyczny na postawie formularza rejestracyjnego oraz zatwierdzenia dostępu poprzez sponsora za pomocą wiadomości e-mail.
Żeby to wykonać klikamy Self-registration i Create New Self Registration page. Teraz nazwiemy tę stronę self_netadminpro_pl. Tutaj jest podobnie jak to było wcześniej omawiane. Zapisujemy i porzebujemy dodać scenariusz sponsora, klikamy Sponsor Confirmation, zaznaczamy checkbox.
To co jeszcze potrzebuję dodać to pole e-mail sponsora, tak żeby gość mógł podać e-mail sponsora, który zaprasza go do firmy. Klikam Registration Page, a następnie Form.
Jak widzicie tutaj mamy całą listę pól, które mogą być zawarte w formularzu, ale mogą też być atrybuty niewidoczne dla gościa, jak expire_after, ma on status hidden. Jest to atrybut zapisywany w formularzu, ale nie jest widoczny dla gościa.
To co ja chcialbym tutaj dodać, to e-mal sponsora, żeby je dołączyć trzeba kliknąć enable, przy polu sponsor_email. Teraz możemy wrócić i zobaczyć jak zmienił się nasz formularz rejestracji gościa.
Pojawia nam się nowe pole w formularzu, możecie spojrzeć w url strony jaka się wyświetla jest w niej zawarta nazwa wpisana na etapie tworzenia strony w polu Page Name.
Rejestracja gościa
Wypełniłem formularz rejestracyjny jako gość, i otrzymałem podsumowanie wprowadzonych informacji. Prośba o dostęp do sponsora została wysłana, przez Clearpass’a e-mailem do sponsora. Jak widzimy wyświetla się szary przycisk Log in. Po zatwierdzeniu sponsora pojawi się kolor pomarańczowy i będę mógł się zalogować jako gość.
Przejdźmy zatem teraz do konta sponsora wyświetlę otrzymany e-mail i możemy zobaczyć informację o prośbie dostępu gościa. Oczywiście jakie pola chcemy widzieć w tej wiadomości możemy konfigurować.
Jeżeli sponsor otrzyma taką wiadomość i chce zatwierdzić dostęp gościa, wystarczy że kliknie link z wiadomości zostanie przekierowany na stronę logowania celem potwierdzenia uprawnień sponsora/operatora.
Tego potwierdzenia nie chcę realizować w moim scenariuszu, po kliknięciu linku z wiadomości, chciałbym żeby konto zostało stworzone, a dostęp gościnny udostępniony.
Żeby to zmienić trzeba wrócić do konfiguracji strony self-registration i w części dostęp sponsora, odznaczyć checkbox authentication. Od tego momentu jak zapisze zmiany nie będzie potrzebne dodatkowe logowanie sponsora.
Kliknę jeszcze raz link jaki otrzymuje sponsor i wyświetla mi się strona gdzie mogę zatwierdzić dostęp gościa. Jeżeli go zatwierdziłem to otrzymuję potwierdzenie od strony sponsora. Możemy teraz przejść do widoku gościa. Tym razem konto gościa jest już włączone i przycisk Log in jest katywny, czyli włączony.
Podsumowanie
To już pełna konfiguracji portalu gościnnego. W kolejnej części pokażę konfigurację polityk po stronie Clearpass Policy Managera, aby właściwie obsłużyć uwieżytelnianie ruchu z portalu gościnnego.