Deutschsprachiges Forum

Reply
Occasional Contributor I

Clearpass Wired 802.1X VLANS

Hallo!

Habe Wired 802.1X per AD Authentifizierung eingerichtet.

 

Es funktioniert nun so weit das ausgelesen wird ob der User den AD angehört und wenn Ja bekommt er Access und den Port mit den Vlans zugewiesen.

 

Jetzt wolte ich das erweitern das ich für Admins ein eigenes Vlan einstellt wenn der User sich in der Domain Admins Gruppe befindet.

 

Das Ignoriert Clearpass und gibt weiterhin das Vlan weiter das Untagged auf den Switch ist auch wenn das Vlan für den Admin auf Tagged ist.

 

Habe bei den Switchport geändert das alle Vlans auf den Port Tagged sind und keines Untagged dann wird zwar in Clearpass ein Allow angezeigt aber keine IP von einen der zwei Vlans vergeben.

 

Folgende Einstellungen gesetzt: (siehe Anhang)

 

 Bitte um Info wo hier der Fehler liegt oder wenn noch nähere Infos benötigt werden.

Danke 

Contributor I

Re: Clearpass Wired 802.1X VLANS

Welche FW hat der Switch?
Im Access Tracker von Clearpass kann man das Enforcement für das request sehen - gibt der VLAn 234 zurück?

Was sagt der Switch für die Session. Glaub ausm kopf der Command ist irgendwie:
sh port-access authenticator clients
Occasional Contributor I

Re: Clearpass Wired 802.1X VLANS

Switch Info:
Software revision : YC.16.03.0004
ROM Version : YC.16.01.0001

Output von Request:
Enforcement Profiles: AD-01 802.1X Wired Initial Profile
System Posture Status: UNKNOWN (100)
Audit Posture Status: UNKNOWN (100)
-RADIUS Response
Radius:Aruba:Aruba-User-Role Guest

sh port-access authenticator clients
Port Access Authenticator Client Status
Port-access authenticator activated [No] : Yes
Allow RADIUS-assigned dynamic (GVRP) VLANs [No] : No
Use LLDP data to authenticate [No] : No
Port Client Name MAC Address IP Address Client Status
----- --------------------- ------------- --------------- --------------------
7 admin a04bc8-2f38af n/a Authenticated

Sehr eigenartig das IP Adresse gar nichts steht..
Solte bei Allow Radius VLANS nicht Yes stehen? oder ist das egal?

Habe folgende Policies:

Name: AD-01 802.1X Wired Enforcement Policy
Description:
Enforcement Type: RADIUS
Default Profile: AD-01 802.1X Wired Default Profile
Rules:
Rules Evaluation Algorithm: First applicable
Conditions Actions
1. (Tips:Posture EQUALS UNKNOWN (100)) AD-01 802.1X Wired Initial Profile
2. (Tips:Posture NOT_EQUALS HEALTHY (0)) AD-01 802.1X Wired Quarantined Profile
3. (Authorization:AD-01:memberOf EQUALS Domain Admins) AD-01 802.1X Wired Profile1

Und folgende Profiles dazu:
Name: AD-01 802.1X Wired Profile1
Description:
Type: RADIUS
Action: Accept
Device Group List: 1. Switches
Attributes:
Type Name Value
1. Radius:Aruba Aruba-User-Vlan = 234

Name: AD-01 802.1X Wired Initial Profile
Description: VLAN/Role assigned before heath checks are performed
Type: RADIUS
Action: Accept
Device Group List: -
Attributes:
Type Name Value
1. Radius:Aruba Aruba-User-Role = Guest

Name: AD-01 802.1X Wired Default Profile
Description:
Type: RADIUS
Action: Accept
Device Group List: -
Attributes:
Type Name Value
1. Radius:Aruba Aruba-User-Vlan = 80


Contributor I

Re: Clearpass Wired 802.1X VLANS

Hi, da scheint zumindest bei dir auch was im Enforcement nicht zu passen.

ClearPass gibt ja augenscheinlich folgendes zurück:

 

-RADIUS Response
Radius:Aruba:Aruba-User-Role Guest

 

D.h. am Switch kommt kein VLAN, sondern eine Rolle an. Wenn er die nicht kennt, wird er maximal das ACCEPT interpretieren.

Occasional Contributor I

Re: Clearpass Wired 802.1X VLANS

habe die policies und die profiles jetzt neu und wesentlich schlanger gemacht (siehe unten)

 

glaube der fehler liegt jetzt switchseitig er gibt die verbindung frei wenn der user in ad ist aber ignoriert die vlan einstellungen sondern gibt den port frei wie er ist.

 

es funktioniert wenn sich ein user aus der domainadmin gruppe (ad) anmeldet das in access tracker unter output folgendes steht:

Enforcement Profiles: Test2 802.1X Wired Profile1
System Posture Status: UNKNOWN (100)
Audit Posture Status: UNKNOWN (100)

RADIUS Response
Radius:Aruba:Aruba-User-Vlan 234

 

und wenn es kein user aus der gruppe ist:

Enforcement Profiles: Test2 802.1X Wired Default Profile
System Posture Status: UNKNOWN (100)
Audit Posture Status: UNKNOWN (100)
-RADIUS Response
Radius:Aruba:Aruba-User-Vlan 80

 

policies:
Enforcement:
Name: Test2 802.1X Wired Enforcement Policy
Description:
Enforcement Type: RADIUS
Default Profile: Test2 802.1X Wired Default Profile
Rules:
Rules Evaluation Algorithm: First applicable
Conditions Actions
1. (Authorization:AD-01:memberOf CONTAINS Domain Admins) Test2 802.1X Wired Profile1

 

Profile:
Name: Test2 802.1X Wired Default Profile
Description:
Type: RADIUS
Action: Accept
Device Group List: -
Attributes:
Type Name Value
1. Radius:Aruba Aruba-User-Vlan = 80

 

Name: Test2 802.1X Wired Profile1
Description:
Type: RADIUS
Action: Accept
Device Group List: -
Attributes:
Type Name Value
1. Radius:Aruba Aruba-User-Vlan = 234

Contributor I

Re: Clearpass Wired 802.1X VLANS

Ich weiß nicht, ob auf Aruba-SwitchOS das Aruba-User-VLAN Radius Flag richtig funktioniert.

 

Probier mal ein normales VLAN Enforcement - ich habe das auf Switchen bisher nur so gebaut.

Occasional Contributor I

Re: Clearpass Wired 802.1X VLANS

Wäre schon davon ausgegangen das ein Arbua Radius Flag auf ein Aruba Switch funktioniert ;)

 

Was ist bei dir ein "normales" Enforcement?

 

Danke

 

 

 

Contributor I

Re: Clearpass Wired 802.1X VLANS

Ja schon, (aber ;P) grundsätzlich ist es so, dass die Aruba Switche eben ursprünglich nicht Aruba waren und das Aruba VLAN Flag in jedem Fall bei den APs greift - ich nehme mal an auch bei den ehemaligen MAS Switchen von Aruba. Mir ist gerade nicht klar, inwieweit das Aruba Radius Dictionary schon vollständig von den Switchen unterstützt wird.

 

Normales Enforcement ist halt IETF VLAN Enforcement - ich meine ClearPass bietet da auch ein VLAN Enforcement Template an.

Sollte sowas drin sein wie Tunnel Type, Tunnel Medium Type und Tunnel Group ID.

Search Airheads
cancel
Showing results for 
Search instead for 
Did you mean: