Siec WiFi dla Gości – cz.2 Polityki Clearpass

Spis tresci z czasami poszczegolnych działań:

• 0:43 Konfiguracji polityk dostępu
• 6:32 Opis gotowych polityk
• 10:06 Życzenia świąteczne

Więcej miejsc do posłuchania:

 

Transkrypcja filmu:

Cześć,

Witam Cię w dzisiejszym odcinku, dzisiaj część druga dostępu gościnnego. Będzie na temat polityk, które trzeba skonfigurować w Clearpass, po to żeby zrealizować scenariusz gościnny dostępu do sieci bezprzewodowej, tak aby gość rejestrując się na portalu dla gościa, po rejestracji jeden raz, mógł korzystać z tego dostępu gościnnego w firmie. Zapraszam zaczynamy.

SERWISY

Przejdźmy do konfiguracji serwisu w Clearpass, żeby to zrobić przechodzimy do części Configuration->Service Templates and Wizards. To jest miejsce do ułatwienia konfiguracji typowych scenariuszy dostępu w Clearpass. To co będzie nas stąd interesowało to Guest Authentication with MAC Caching.

To jest scenariusz w którym, my oczekujemy że ten gość będzie się logował przez portal gościny raz, a następnie jego MAC adres zostanie zapamiętany jako znany i będzie mógł się do tej sieci połączać ponownie. Wyłączać WiFi w urządzeniu i ponownie je włączyć, tyle razy ile chce, podczas ważności tego konta. Dopóki konto jest ważne, to gość będzie się mógł do tego konta podłączać i tylko za pierwszym razem będzie wymagane jego zarejestrowanie.

Żeby skonfigurować w Clearpass polityki, klikamy Guest Authentication with MAC Caching, a następnie wpisujemy prefix. Ja wpiszę prefix netadminpro.pl daję next. W kolejnym kroku pisujemy nazwę sieci bezprzewodowej, ta nazwa jest potrzebna dla Clearpass’a do uzależnienia danego serwisu od zapytania związanego z daną siecią bezprzewodową. Dalej podajemy nazwę kontrolera bezprzewodowego, następnie Kontroller IP address, w tym polu może być wskazana cała sieć z maską. Następnie wybieramy nazwę producenta i podajemy Shared Secret.

Dynamic Authorization to jest umożliwianie dynamicznej zmiany ról na urządzeniu dostępowym i w takim właśnie schemacie się odbywa przełączenie roli na punkcie dostępowym, czyli ta opcja powinna być włączona.

RADSEC

Enable RadSec to jest nowa funkcjonalność, związana z szyfrowaniem ruchu pomiędzy radiusem, a urządzeniem dostępowym, tego nie musimy zaznaczać w tym naszym scenariuszu.

KONTA GOŚCI

Następnie to co potrzebujemy wskazać, to jaką ważność konta dla gościa chcemy ustawić, ja w tym przykładzie ustawiam jeden dzień, pozostałe pozycje, kontraktor i pracownik, nie dotyczą naszego scenariusz tego nie musimy ustawiać. Posture settings to jest ustawienie czy stacja końcowa spełnia moje oczekiwania, w moim scenariuszu nie będę sprawdzał parametrów stacji końcowej, daję next.

W zakładce Access Restrictions potrzebuję wpisać typ wymuszenia polityki na urządzeniu dostępowym, w tym przypadku punkcie dostępowym, ponieważ używam punktu dostępowego Aruba to będę się opierał o role. Jeżeli mam inne urządzenie to mogę się opierać o inne mechanizmy, typowo dla urządzeń Cisco będzie to podanie nr vlan’u. W polu Captive Portal Access wpisujemy nazwę roli przewidzianą na punkcie dostępowym do przekierowywania gości na portal www. Nazwa roli jaka występuje na punkcie dostępowym to External CP i taką nazwę potrzebuję skopiować do pola Captive Portal Access.

ROLA

Nazwę roli jaka będzie przypisana dla dostępu gościnnego po uwierzytelnieniu, wpisuję w pole Guest Access. Domyślnie na wirtualnym kontrolerze Aruba, nazwą dostępu pełnego dla danej sieci bezprzewodowej jest nazwa tej sieci. W moim przypadku więc wpisuję w Guest Access, nazwę roli identyczną z nazwą sieci bezprzewodowej.

Dodatkowo dodałem ograniczenie na ilość urządzeń dla jednego gościa do jednego urządzenia i ograniczenie przepustowości łącza dla gościa do 10Mb po stronie ClearPass.


PODSUMOWANIE KONFIGURACJI

Po zakończeniu kreatora, widzimy że zostały dodane 2 serwisy, jak również zostały dodane inne elementy, które tutaj są potrzebne. Krótko je opiszę, żeby całość zadziałała potrzebne jest dodanie urządzenie, w naszym przykladzie to punkt dostępowy do Clearpass jako zaufany. Zostało dodanych 9 profili enforcement, są to profile w których zapisane są parametry radius wysyłane z Clearpass do punktu dostępowego. Są dodane dwie polityki enforcement’u zawierające wyżej opisane profile. Następnie zostały zaktualizowane 2 schematy mapowania ról wewnątrz Clearpass. No i na końcu zostały dodane dwa serwisy, które możemy zobaczyć na końcu listy serwisów. Kolejność tych serwisów jest istotna i ma bezpośredni wpływ na funkcjonalość. Zwóć uwagę, że najpierw jest serwis do uwierzytelniania użytkowników w oparciu o adress MAC, w oparciu o MAC Authentication, a pod nim jest serwis uwierzytelniający gości w oparciu o captive portal, czyli formularz który nam będzie z tego portalu przesyłany do Clearpass.

Jeżeli popatrzymy sobie na szczegóły serwisu to widzimy, że klasyfikacja serwisu opiera się o dwa parametry, nazwę sieci bezprzewodowej w naszym przypadku netadminpro.pl, oraz o nazwę użytkownika w postaci MAC adresu.
W przypadku gdy urządzenie nie jest znane, będziemy widzieć w Clearpass nieudaną próbę uwierzytelnienia opartą o MAC adres, a dopiero poźniej w kolejnej linijce zobaczymy próbę uwierzytelnia w oparciu o zapytanie radius przetworzone przez punkt dostępowy. Jak sobie popatrzymy na kryteria klasyfikacji drugiego serwisu, to zadziała nam ten serwis, o ile w zapytaniu wartość pola Client-Mac-Address nie jest równe wartości pola User-Name otrzymanego w zapytaniu. Dodatkowo to zapytanie musi przychodzić z sieci netadminpro.pl i posiada wartośc pola Calling-Station-ID, wartość dostarczana przez punkt dostępowy.

KOLEJNOŚĆ SERWISÓW

Tutaj warto zwrócić jeszcze uwagę na jedną rzecz, kolejność serwisów ma znaczenie. Jeżeli nam zapytanie nie trafi w pierwszy serwis, to będzie sprawdzane czy spełnia kryteria kwalifikacji dla serwisu umieszczonego poniżej. Jeżeli jest prawidłowo uwierzytelniona stacja w wierszu 7 to wiersz 8 nie będzie już sprawdzany. Na prawidłowym uwierzytelnieniu w wierszu 7 cały proces się zakończy i o to właśnie nam chodzi.

PODSUMOWANIE

Ponieważ jest to ostatni odcinek przed świętami, to wraz z moim mikołajem chciałem Ci życzyć wszystkiego dobrego na święta, spokojnych rodzinnych świąt, wypoczynku i tego żebyśmy zobaczyli się w nowym roku, w jeszcze lepszych humorach. Wypoczęci i gotowi do kolejnych wyzwań, do zobaczenia.