- Subscribe to RSS Feed
- Mark Topic as New
- Mark Topic as Read
- Float this Topic for Current User
- Bookmark
- Subscribe
- Printer Friendly Page
11-27-2017 06:24 AM
Hallo!
Habe Wired 802.1X per AD Authentifizierung eingerichtet.
Es funktioniert nun so weit das ausgelesen wird ob der User den AD angehört und wenn Ja bekommt er Access und den Port mit den Vlans zugewiesen.
Jetzt wolte ich das erweitern das ich für Admins ein eigenes Vlan einstellt wenn der User sich in der Domain Admins Gruppe befindet.
Das Ignoriert Clearpass und gibt weiterhin das Vlan weiter das Untagged auf den Switch ist auch wenn das Vlan für den Admin auf Tagged ist.
Habe bei den Switchport geändert das alle Vlans auf den Port Tagged sind und keines Untagged dann wird zwar in Clearpass ein Allow angezeigt aber keine IP von einen der zwei Vlans vergeben.
Folgende Einstellungen gesetzt: (siehe Anhang)
Bitte um Info wo hier der Fehler liegt oder wenn noch nähere Infos benötigt werden.
Danke
Solved! Go to Solution.
- Mark as New
- Bookmark
- Subscribe
- Subscribe to RSS Feed
- Permalink
- Email to a Friend
- Alert a Moderator
Re: Clearpass Wired 802.1X VLANS
Re: Clearpass Wired 802.1X VLANS
11-28-2017 12:36 AM
Im Access Tracker von Clearpass kann man das Enforcement für das request sehen - gibt der VLAn 234 zurück?
Was sagt der Switch für die Session. Glaub ausm kopf der Command ist irgendwie:
sh port-access authenticator clients
- Mark as New
- Bookmark
- Subscribe
- Subscribe to RSS Feed
- Permalink
- Email to a Friend
- Alert a Moderator
Re: Clearpass Wired 802.1X VLANS
Re: Clearpass Wired 802.1X VLANS
11-28-2017 02:05 AM
Switch Info:
Software revision : YC.16.03.0004
ROM Version : YC.16.01.0001
Output von Request:
Enforcement Profiles: AD-01 802.1X Wired Initial Profile
System Posture Status: UNKNOWN (100)
Audit Posture Status: UNKNOWN (100)
-RADIUS Response
Radius:Aruba:Aruba-User-Role Guest
sh port-access authenticator clients
Port Access Authenticator Client Status
Port-access authenticator activated [No] : Yes
Allow RADIUS-assigned dynamic (GVRP) VLANs [No] : No
Use LLDP data to authenticate [No] : No
Port Client Name MAC Address IP Address Client Status
----- --------------------- ------------- --------------- --------------------
7 admin a04bc8-2f38af n/a Authenticated
Sehr eigenartig das IP Adresse gar nichts steht..
Solte bei Allow Radius VLANS nicht Yes stehen? oder ist das egal?
Habe folgende Policies:
Name: AD-01 802.1X Wired Enforcement Policy
Description:
Enforcement Type: RADIUS
Default Profile: AD-01 802.1X Wired Default Profile
Rules:
Rules Evaluation Algorithm: First applicable
Conditions Actions
1. (Tips:Posture EQUALS UNKNOWN (100)) AD-01 802.1X Wired Initial Profile
2. (Tips:Posture NOT_EQUALS HEALTHY (0)) AD-01 802.1X Wired Quarantined Profile
3. (Authorization:AD-01:memberOf EQUALS Domain Admins) AD-01 802.1X Wired Profile1
Und folgende Profiles dazu:
Name: AD-01 802.1X Wired Profile1
Description:
Type: RADIUS
Action: Accept
Device Group List: 1. Switches
Attributes:
Type Name Value
1. Radius:Aruba Aruba-User-Vlan = 234
Name: AD-01 802.1X Wired Initial Profile
Description: VLAN/Role assigned before heath checks are performed
Type: RADIUS
Action: Accept
Device Group List: -
Attributes:
Type Name Value
1. Radius:Aruba Aruba-User-Role = Guest
Name: AD-01 802.1X Wired Default Profile
Description:
Type: RADIUS
Action: Accept
Device Group List: -
Attributes:
Type Name Value
1. Radius:Aruba Aruba-User-Vlan = 80
- Mark as New
- Bookmark
- Subscribe
- Subscribe to RSS Feed
- Permalink
- Email to a Friend
- Alert a Moderator
Re: Clearpass Wired 802.1X VLANS
Re: Clearpass Wired 802.1X VLANS
11-28-2017 03:48 AM
Hi, da scheint zumindest bei dir auch was im Enforcement nicht zu passen.
ClearPass gibt ja augenscheinlich folgendes zurück:
-RADIUS Response
Radius:Aruba:Aruba-User-Role Guest
D.h. am Switch kommt kein VLAN, sondern eine Rolle an. Wenn er die nicht kennt, wird er maximal das ACCEPT interpretieren.
- Mark as New
- Bookmark
- Subscribe
- Subscribe to RSS Feed
- Permalink
- Email to a Friend
- Alert a Moderator
Re: Clearpass Wired 802.1X VLANS
Re: Clearpass Wired 802.1X VLANS
11-28-2017 04:59 AM
habe die policies und die profiles jetzt neu und wesentlich schlanger gemacht (siehe unten)
glaube der fehler liegt jetzt switchseitig er gibt die verbindung frei wenn der user in ad ist aber ignoriert die vlan einstellungen sondern gibt den port frei wie er ist.
es funktioniert wenn sich ein user aus der domainadmin gruppe (ad) anmeldet das in access tracker unter output folgendes steht:
Enforcement Profiles: Test2 802.1X Wired Profile1
System Posture Status: UNKNOWN (100)
Audit Posture Status: UNKNOWN (100)
RADIUS Response
Radius:Aruba:Aruba-User-Vlan 234
und wenn es kein user aus der gruppe ist:
Enforcement Profiles: Test2 802.1X Wired Default Profile
System Posture Status: UNKNOWN (100)
Audit Posture Status: UNKNOWN (100)
-RADIUS Response
Radius:Aruba:Aruba-User-Vlan 80
policies:
Enforcement:
Name: Test2 802.1X Wired Enforcement Policy
Description:
Enforcement Type: RADIUS
Default Profile: Test2 802.1X Wired Default Profile
Rules:
Rules Evaluation Algorithm: First applicable
Conditions Actions
1. (Authorization:AD-01:memberOf CONTAINS Domain Admins) Test2 802.1X Wired Profile1
Profile:
Name: Test2 802.1X Wired Default Profile
Description:
Type: RADIUS
Action: Accept
Device Group List: -
Attributes:
Type Name Value
1. Radius:Aruba Aruba-User-Vlan = 80
Name: Test2 802.1X Wired Profile1
Description:
Type: RADIUS
Action: Accept
Device Group List: -
Attributes:
Type Name Value
1. Radius:Aruba Aruba-User-Vlan = 234
- Mark as New
- Bookmark
- Subscribe
- Subscribe to RSS Feed
- Permalink
- Email to a Friend
- Alert a Moderator
Re: Clearpass Wired 802.1X VLANS
Re: Clearpass Wired 802.1X VLANS
11-30-2017 04:00 AM
Ich weiß nicht, ob auf Aruba-SwitchOS das Aruba-User-VLAN Radius Flag richtig funktioniert.
Probier mal ein normales VLAN Enforcement - ich habe das auf Switchen bisher nur so gebaut.
- Mark as New
- Bookmark
- Subscribe
- Subscribe to RSS Feed
- Permalink
- Email to a Friend
- Alert a Moderator
Re: Clearpass Wired 802.1X VLANS
Re: Clearpass Wired 802.1X VLANS
12-12-2017 01:58 AM
Wäre schon davon ausgegangen das ein Arbua Radius Flag auf ein Aruba Switch funktioniert ;)
Was ist bei dir ein "normales" Enforcement?
Danke
- Mark as New
- Bookmark
- Subscribe
- Subscribe to RSS Feed
- Permalink
- Email to a Friend
- Alert a Moderator
Re: Clearpass Wired 802.1X VLANS
Re: Clearpass Wired 802.1X VLANS
12-12-2017 04:44 AM
Ja schon, (aber ;P) grundsätzlich ist es so, dass die Aruba Switche eben ursprünglich nicht Aruba waren und das Aruba VLAN Flag in jedem Fall bei den APs greift - ich nehme mal an auch bei den ehemaligen MAS Switchen von Aruba. Mir ist gerade nicht klar, inwieweit das Aruba Radius Dictionary schon vollständig von den Switchen unterstützt wird.
Normales Enforcement ist halt IETF VLAN Enforcement - ich meine ClearPass bietet da auch ein VLAN Enforcement Template an.
Sollte sowas drin sein wie Tunnel Type, Tunnel Medium Type und Tunnel Group ID.
- Mark as New
- Bookmark
- Subscribe
- Subscribe to RSS Feed
- Permalink
- Email to a Friend
- Alert a Moderator
12-19-2017 11:37 PM
also die Lösung war:
1. Radius:IETF Tunnel-Medium-Type = IEEE-802 (6)
2. Radius:IETF Tunnel-Private-Group-Id = 1 "Zahl steht für VlanID"
- Mark as New
- Bookmark
- Subscribe
- Subscribe to RSS Feed
- Permalink
- Email to a Friend
- Alert a Moderator