Community Home > Discuss > Global Forums > Deutschsprachiges Forum > Clearpass Wired 802.1X VLANS

Deutschsprachiges Forum

Reply
stefan007
Occasional Contributor I
stefan007

Clearpass Wired 802.1X VLANS

‎11-27-2017 06:24 AM

Hallo!

Habe Wired 802.1X per AD Authentifizierung eingerichtet.

 

Es funktioniert nun so weit das ausgelesen wird ob der User den AD angehört und wenn Ja bekommt er Access und den Port mit den Vlans zugewiesen.

 

Jetzt wolte ich das erweitern das ich für Admins ein eigenes Vlan einstellt wenn der User sich in der Domain Admins Gruppe befindet.

 

Das Ignoriert Clearpass und gibt weiterhin das Vlan weiter das Untagged auf den Switch ist auch wenn das Vlan für den Admin auf Tagged ist.

 

Habe bei den Switchport geändert das alle Vlans auf den Port Tagged sind und keines Untagged dann wird zwar in Clearpass ein Allow angezeigt aber keine IP von einen der zwei Vlans vergeben.

 

Folgende Einstellungen gesetzt: (siehe Anhang)

 

 Bitte um Info wo hier der Fehler liegt oder wenn noch nähere Infos benötigt werden.

Danke 

Alert a Moderator
Message 1 of 9
2,017 Views
Reply
0 Kudos
JPfennig
Contributor II
JPfennig

Re: Clearpass Wired 802.1X VLANS

‎11-28-2017 12:36 AM

Welche FW hat der Switch?
Im Access Tracker von Clearpass kann man das Enforcement für das request sehen - gibt der VLAn 234 zurück?

Was sagt der Switch für die Session. Glaub ausm kopf der Command ist irgendwie:
sh port-access authenticator clients
Alert a Moderator
Message 2 of 9
1,954 Views
Reply
0 Kudos
stefan007
Occasional Contributor I
stefan007

Re: Clearpass Wired 802.1X VLANS

‎11-28-2017 02:05 AM

Switch Info:
Software revision : YC.16.03.0004
ROM Version : YC.16.01.0001

Output von Request:
Enforcement Profiles: AD-01 802.1X Wired Initial Profile
System Posture Status: UNKNOWN (100)
Audit Posture Status: UNKNOWN (100)
-RADIUS Response
Radius:Aruba:Aruba-User-Role Guest

sh port-access authenticator clients
Port Access Authenticator Client Status
Port-access authenticator activated [No] : Yes
Allow RADIUS-assigned dynamic (GVRP) VLANs [No] : No
Use LLDP data to authenticate [No] : No
Port Client Name MAC Address IP Address Client Status
----- --------------------- ------------- --------------- --------------------
7 admin a04bc8-2f38af n/a Authenticated

Sehr eigenartig das IP Adresse gar nichts steht..
Solte bei Allow Radius VLANS nicht Yes stehen? oder ist das egal?

Habe folgende Policies:

Name: AD-01 802.1X Wired Enforcement Policy
Description:
Enforcement Type: RADIUS
Default Profile: AD-01 802.1X Wired Default Profile
Rules:
Rules Evaluation Algorithm: First applicable
Conditions Actions
1. (Tips:Posture EQUALS UNKNOWN (100)) AD-01 802.1X Wired Initial Profile
2. (Tips:Posture NOT_EQUALS HEALTHY (0)) AD-01 802.1X Wired Quarantined Profile
3. (Authorization:AD-01:memberOf EQUALS Domain Admins) AD-01 802.1X Wired Profile1

Und folgende Profiles dazu:
Name: AD-01 802.1X Wired Profile1
Description:
Type: RADIUS
Action: Accept
Device Group List: 1. Switches
Attributes:
Type Name Value
1. Radius:Aruba Aruba-User-Vlan = 234

Name: AD-01 802.1X Wired Initial Profile
Description: VLAN/Role assigned before heath checks are performed
Type: RADIUS
Action: Accept
Device Group List: -
Attributes:
Type Name Value
1. Radius:Aruba Aruba-User-Role = Guest

Name: AD-01 802.1X Wired Default Profile
Description:
Type: RADIUS
Action: Accept
Device Group List: -
Attributes:
Type Name Value
1. Radius:Aruba Aruba-User-Vlan = 80


Alert a Moderator
Message 3 of 9
1,948 Views
Reply
0 Kudos
JPfennig
Contributor II
JPfennig

Re: Clearpass Wired 802.1X VLANS

‎11-28-2017 03:48 AM

Hi, da scheint zumindest bei dir auch was im Enforcement nicht zu passen.

ClearPass gibt ja augenscheinlich folgendes zurück:

 

-RADIUS Response
Radius:Aruba:Aruba-User-Role Guest

 

D.h. am Switch kommt kein VLAN, sondern eine Rolle an. Wenn er die nicht kennt, wird er maximal das ACCEPT interpretieren.

Alert a Moderator
Message 4 of 9
1,936 Views
Reply
0 Kudos
stefan007
Occasional Contributor I
stefan007

Re: Clearpass Wired 802.1X VLANS

‎11-28-2017 04:59 AM

habe die policies und die profiles jetzt neu und wesentlich schlanger gemacht (siehe unten)

 

glaube der fehler liegt jetzt switchseitig er gibt die verbindung frei wenn der user in ad ist aber ignoriert die vlan einstellungen sondern gibt den port frei wie er ist.

 

es funktioniert wenn sich ein user aus der domainadmin gruppe (ad) anmeldet das in access tracker unter output folgendes steht:

Enforcement Profiles: Test2 802.1X Wired Profile1
System Posture Status: UNKNOWN (100)
Audit Posture Status: UNKNOWN (100)

RADIUS Response
Radius:Aruba:Aruba-User-Vlan 234

 

und wenn es kein user aus der gruppe ist:

Enforcement Profiles: Test2 802.1X Wired Default Profile
System Posture Status: UNKNOWN (100)
Audit Posture Status: UNKNOWN (100)
-RADIUS Response
Radius:Aruba:Aruba-User-Vlan 80

 

policies:
Enforcement:
Name: Test2 802.1X Wired Enforcement Policy
Description:
Enforcement Type: RADIUS
Default Profile: Test2 802.1X Wired Default Profile
Rules:
Rules Evaluation Algorithm: First applicable
Conditions Actions
1. (Authorization:AD-01:memberOf CONTAINS Domain Admins) Test2 802.1X Wired Profile1

 

Profile:
Name: Test2 802.1X Wired Default Profile
Description:
Type: RADIUS
Action: Accept
Device Group List: -
Attributes:
Type Name Value
1. Radius:Aruba Aruba-User-Vlan = 80

 

Name: Test2 802.1X Wired Profile1
Description:
Type: RADIUS
Action: Accept
Device Group List: -
Attributes:
Type Name Value
1. Radius:Aruba Aruba-User-Vlan = 234

Alert a Moderator
Message 5 of 9
1,923 Views
Reply
0 Kudos
JPfennig
Contributor II
JPfennig

Re: Clearpass Wired 802.1X VLANS

‎11-30-2017 04:00 AM

Ich weiß nicht, ob auf Aruba-SwitchOS das Aruba-User-VLAN Radius Flag richtig funktioniert.

 

Probier mal ein normales VLAN Enforcement - ich habe das auf Switchen bisher nur so gebaut.

Alert a Moderator
Message 6 of 9
1,890 Views
Reply
0 Kudos
stefan007
Occasional Contributor I
stefan007

Re: Clearpass Wired 802.1X VLANS

‎12-12-2017 01:58 AM

Wäre schon davon ausgegangen das ein Arbua Radius Flag auf ein Aruba Switch funktioniert ;)

 

Was ist bei dir ein "normales" Enforcement?

 

Danke

 

 

 

Alert a Moderator
Message 7 of 9
1,829 Views
Reply
0 Kudos
JPfennig
Contributor II
JPfennig

Re: Clearpass Wired 802.1X VLANS

‎12-12-2017 04:44 AM

Ja schon, (aber ;P) grundsätzlich ist es so, dass die Aruba Switche eben ursprünglich nicht Aruba waren und das Aruba VLAN Flag in jedem Fall bei den APs greift - ich nehme mal an auch bei den ehemaligen MAS Switchen von Aruba. Mir ist gerade nicht klar, inwieweit das Aruba Radius Dictionary schon vollständig von den Switchen unterstützt wird.

 

Normales Enforcement ist halt IETF VLAN Enforcement - ich meine ClearPass bietet da auch ein VLAN Enforcement Template an.

Sollte sowas drin sein wie Tunnel Type, Tunnel Medium Type und Tunnel Group ID.

Alert a Moderator
Message 8 of 9
1,813 Views
Reply
0 Kudos
stefan007
Occasional Contributor I
stefan007

Re: Clearpass Wired 802.1X VLANS

‎12-19-2017 11:37 PM

also die Lösung war:

 

1. Radius:IETF Tunnel-Medium-Type = IEEE-802 (6)
2. Radius:IETF Tunnel-Private-Group-Id = 1 "Zahl steht für VlanID"

Alert a Moderator
Message 9 of 9
1,776 Views
Reply
0 Kudos
Search Airheads
cancel
turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 

© Copyright 2018 Hewlett Packard Enterprise Development LP
All Rights Reserved.
Powered by Lithium