日本語フォーラム

Reply
Aruba Employee

[Switch] ClearPassを使ったExternal Captive Portal

Aruba Switch のExternal Captive Portalの設定は、ProvisionOSの時と違い、user-roleを使って設定します。

初めて設定する時は、少し戸惑うと思うのでここで少し解説します。

 

※ClearPassの設定なども含め、詳しくはこちらのソリューションガイドに細かく記載されているので参考にして下さい。

ClearPass_Solution-Guide_Wired-Policy-Enforcement_v2017-02

 

以下が、Captive Portalの動作時のシーケンス図になります。

SwitchのExternal Captive Portalのシーケンス図

AHJ_switch_captive_flow.png

  1. ユーザがネットワークにアクセス
  2. MAC認証が実行され、Captive Portal用のuser-roleをRADIUS Attributeを使ってClientに適用する(ここではMAC認証で端末を識別することは目的では無いため、ClearPass側でどの端末でもMAC認証が通るようにしておく)
  3. ユーザがWebブラウザで任意のWebページへアクセス
  4. user-roleのCaptive Portalの設定に従い、外部Captive Portal(ClearPass)へリダイレクト
  5. Captive Portalで認証。この時に、ClearPass側で端末のEndpoint Repositoryをアップデートし、次にMAC認証をする時に、認証後のuser-roleが適用されるようにしておく。
  6. 認証がOKの場合、RADIUS CoAを使ってPort Bounceさせ、再認証(MAC認証)が実行されるようにする
  7. 再度MAC認証が行われ、今度は認証後のuser-roleを適用させる

上記でわかるように、Captive Portalの時にMAC認証を使っています。

これは、Captive Portalが有効になっているuser-roleをRADIUS Attributeを使って適用するためです。Step 6 でPort Bounceをさせずに、直接CoAで認証後のuser-roleを適用しても構いません。その場合は、端末が再接続してきた場合、毎回Captive Portalが実行されることになります。

スイッチの設定は以下の通りです。漏れがあればご指摘ください。。。

 

InterfaceでMAC認証を有効化

aaa port-access mac-based <interface#>

External Captive PortalへRedirectさせるPolicy設定

policy user CLEARPASS-REDIRECT
  class ipv4 DNS action permit
  class ipv4 DHCP action permit
  class ipv4 CLEARPASS-WEB action permit
  class ipv4 WEB-TRAFFIC action redirect captive-portal

Captive Portalの有効化とCaptive Portal Profileの設定

aaa authentication captive-portal enable
aaa authentication captive-portal profile "GUEST-LOGON" url "https://<my-clearpass-ip>/guest/guest_login.php"

Captive Portalが有効になっているuser-role

aaa authorization user-role name GUEST-LOGON 
  captive-portal-profile "GUEST-LOGON" 
  policy CLEARPASS-REDIRECT 
  reauth-period 180 
  vlan-name EDGE_GUEST 

RADIUSサーバの設定

ip source-interface radius vlan xxx 
radius-server host <my-clearpass-ip> key mypassword
radius-server host <my-clearpass-ip> dyn-authorization #CoAの設定
radius-server host <my-clearpass-ip> time-window 0
aaa server-group radius CLEARPASS host <my-clearpass-ip>

AAA関連の設定

aaa authentication mac-based chap-radius server-group
CLEARPASS
aaa accounting network start-stop radius server-group
CLEARPASS
aaa accounting update periodic 5
aaa authorization user-role enable

IP Visibilityの設定

ip client-tracker

最後のIP Visibilityの設定は私自身ハマりました。

この設定が無いと、Client情報を確認した時に、ClientにアサインされたIP Addressがわかりません。

 

Client情報の確認

# show port-access clients 
 Port Access Client Status
  Port  Client Name   MAC Address       IP Address      User Role         Type  VLAN
  ----- ------------- ----------------- --------------- ----------------- ----- ----
  6     f0def1xxxxxx  f0def1-xxxxxx     10.215.204.160  GUEST-LOGON       MAC   204 

ClearPassの設定は全て記載するとスクリーンショットだらけなので割愛しますが、重要なポイントだけ以下に記載します。

 

MAC認証用のサービス設定:どの端末でも認証OKになる設定

AHJ_allow_all_mac.png

Captive Portal用のサービス設定:Endpoint RepositoryにRoleをキャッシュさせる設定

AHJ_Guest_Role_Update.png

 

MAC認証用のサービス設定:キャッシュされたRole情報を使うため、チェックボックスをチェックする

AHJ_Role_cache.png

 

Port BounceをさせずにCoAで直接Roleをアップデートする場合はこちら。

Aruba Switch のRoleをアップデートするCoA Profile

AHJ_hpe-role-coa.png

 

 

RADIUSのCoAを使うので、NTPの設定やAccountingの設定も、ClearPass側で忘れずに設定しましょう。

 

Accounting Interim-updateの設定

AHJ_clearpass_accounting.png

 

 

 

 

 

 

 

Search Airheads
cancel
Showing results for 
Search instead for 
Did you mean: