Spis tresci z czasami poszczegolnych działań:
- 0:43 Konfiguracji polityk dostępu
- 6:32 Opis gotowych polityk
- 10:06 Życzenia świąteczne
Więcej miejsc do posłuchania:
Transkrypcja filmu:
Cześć,
Witam Cię w dzisiejszym odcinku, dzisiaj część druga dostępu gościnnego. Będzie na temat polityk, które trzeba skonfigurować w Clearpass, po to żeby zrealizować scenariusz gościnny dostępu do sieci bezprzewodowej, tak aby gość rejestrując się na portalu dla gościa, po rejestracji jeden raz, mógł korzystać z tego dostępu gościnnego w firmie. Zapraszam zaczynamy.
SERWISY
Przejdźmy do konfiguracji serwisu w Clearpass, żeby to zrobić przechodzimy do części Configuration->Service Templates and Wizards. To jest miejsce do ułatwienia konfiguracji typowych scenariuszy dostępu w Clearpass. To co będzie nas stąd interesowało to Guest Authentication with MAC Caching.
To jest scenariusz w którym, my oczekujemy że ten gość będzie się logował przez portal gościny raz, a następnie jego MAC adres zostanie zapamiętany jako znany i będzie mógł się do tej sieci połączać ponownie. Wyłączać WiFi w urządzeniu i ponownie je włączyć, tyle razy ile chce, podczas ważności tego konta. Dopóki konto jest ważne, to gość będzie się mógł do tego konta podłączać i tylko za pierwszym razem będzie wymagane jego zarejestrowanie.
Żeby skonfigurować w Clearpass polityki, klikamy Guest Authentication with MAC Caching, a następnie wpisujemy prefix. Ja wpiszę prefix netadminpro.pl daję next. W kolejnym kroku pisujemy nazwę sieci bezprzewodowej, ta nazwa jest potrzebna dla Clearpass’a do uzależnienia danego serwisu od zapytania związanego z daną siecią bezprzewodową. Dalej podajemy nazwę kontrolera bezprzewodowego, następnie Kontroller IP address, w tym polu może być wskazana cała sieć z maską. Następnie wybieramy nazwę producenta i podajemy Shared Secret.
Dynamic Authorization to jest umożliwianie dynamicznej zmiany ról na urządzeniu dostępowym i w takim właśnie schemacie się odbywa przełączenie roli na punkcie dostępowym, czyli ta opcja powinna być włączona.
RADSEC
Enable RadSec to jest nowa funkcjonalność, związana z szyfrowaniem ruchu pomiędzy radiusem, a urządzeniem dostępowym, tego nie musimy zaznaczać w tym naszym scenariuszu.
KONTA GOŚCI
Następnie to co potrzebujemy wskazać, to jaką ważność konta dla gościa chcemy ustawić, ja w tym przykładzie ustawiam jeden dzień, pozostałe pozycje, kontraktor i pracownik, nie dotyczą naszego scenariusz tego nie musimy ustawiać. Posture settings to jest ustawienie czy stacja końcowa spełnia moje oczekiwania, w moim scenariuszu nie będę sprawdzał parametrów stacji końcowej, daję next.
W zakładce Access Restrictions potrzebuję wpisać typ wymuszenia polityki na urządzeniu dostępowym, w tym przypadku punkcie dostępowym, ponieważ używam punktu dostępowego Aruba to będę się opierał o role. Jeżeli mam inne urządzenie to mogę się opierać o inne mechanizmy, typowo dla urządzeń Cisco będzie to podanie nr vlan’u. W polu Captive Portal Access wpisujemy nazwę roli przewidzianą na punkcie dostępowym do przekierowywania gości na portal www. Nazwa roli jaka występuje na punkcie dostępowym to External CP i taką nazwę potrzebuję skopiować do pola Captive Portal Access.
ROLA
Nazwę roli jaka będzie przypisana dla dostępu gościnnego po uwierzytelnieniu, wpisuję w pole Guest Access. Domyślnie na wirtualnym kontrolerze Aruba, nazwą dostępu pełnego dla danej sieci bezprzewodowej jest nazwa tej sieci. W moim przypadku więc wpisuję w Guest Access, nazwę roli identyczną z nazwą sieci bezprzewodowej.
Dodatkowo dodałem ograniczenie na ilość urządzeń dla jednego gościa do jednego urządzenia i ograniczenie przepustowości łącza dla gościa do 10Mb po stronie ClearPass.
PODSUMOWANIE KONFIGURACJI
Po zakończeniu kreatora, widzimy że zostały dodane 2 serwisy, jak również zostały dodane inne elementy, które tutaj są potrzebne. Krótko je opiszę, żeby całość zadziałała potrzebne jest dodanie urządzenie, w naszym przykladzie to punkt dostępowy do Clearpass jako zaufany. Zostało dodanych 9 profili enforcement, są to profile w których zapisane są parametry radius wysyłane z Clearpass do punktu dostępowego. Są dodane dwie polityki enforcement’u zawierające wyżej opisane profile. Następnie zostały zaktualizowane 2 schematy mapowania ról wewnątrz Clearpass. No i na końcu zostały dodane dwa serwisy, które możemy zobaczyć na końcu listy serwisów. Kolejność tych serwisów jest istotna i ma bezpośredni wpływ na funkcjonalość. Zwóć uwagę, że najpierw jest serwis do uwierzytelniania użytkowników w oparciu o adress MAC, w oparciu o MAC Authentication, a pod nim jest serwis uwierzytelniający gości w oparciu o captive portal, czyli formularz który nam będzie z tego portalu przesyłany do Clearpass.
Jeżeli popatrzymy sobie na szczegóły serwisu to widzimy, że klasyfikacja serwisu opiera się o dwa parametry, nazwę sieci bezprzewodowej w naszym przypadku netadminpro.pl, oraz o nazwę użytkownika w postaci MAC adresu.
W przypadku gdy urządzenie nie jest znane, będziemy widzieć w Clearpass nieudaną próbę uwierzytelnienia opartą o MAC adres, a dopiero poźniej w kolejnej linijce zobaczymy próbę uwierzytelnia w oparciu o zapytanie radius przetworzone przez punkt dostępowy. Jak sobie popatrzymy na kryteria klasyfikacji drugiego serwisu, to zadziała nam ten serwis, o ile w zapytaniu wartość pola Client-Mac-Address nie jest równe wartości pola User-Name otrzymanego w zapytaniu. Dodatkowo to zapytanie musi przychodzić z sieci netadminpro.pl i posiada wartośc pola Calling-Station-ID, wartość dostarczana przez punkt dostępowy.
KOLEJNOŚĆ SERWISÓW
Tutaj warto zwrócić jeszcze uwagę na jedną rzecz, kolejność serwisów ma znaczenie. Jeżeli nam zapytanie nie trafi w pierwszy serwis, to będzie sprawdzane czy spełnia kryteria kwalifikacji dla serwisu umieszczonego poniżej. Jeżeli jest prawidłowo uwierzytelniona stacja w wierszu 7 to wiersz 8 nie będzie już sprawdzany. Na prawidłowym uwierzytelnieniu w wierszu 7 cały proces się zakończy i o to właśnie nam chodzi.
PODSUMOWANIE
Ponieważ jest to ostatni odcinek przed świętami, to wraz z moim mikołajem chciałem Ci życzyć wszystkiego dobrego na święta, spokojnych rodzinnych świąt, wypoczynku i tego żebyśmy zobaczyli się w nowym roku, w jeszcze lepszych humorach. Wypoczęci i gotowi do kolejnych wyzwań, do zobaczenia.