Foro en Español

Reply
Contributor I
Posts: 22
Registered: ‎06-09-2014

ClearPass utiliza el "outer identity" en "Authentication:Username"

Hola,

 

Creo que estamos sufriendo un bug de ClearPass y un workaround sería no utilizar en el filter query de LDAP el atributo Authentication:Username y utilizar el Authentication:Full-Username pero eliminando el dominio (abc123@domani.es --> abc123).

 

¿Alguna recomendación?

  • (uid=%{Authentication:Full-Username})  ¿cómo eliminar el dominio y sólo enviar el usuario?

Os describo el problema:

 

Nuestros usuarios envian las credenciales:

  • inner identity "abc123@domain.es"
  • outer identity "anonymous@domain.es"

Lo correcto es que ClearPass calcule los atributos:

  • Radius:IETF:User-Name = abc123@domain.es
  • Authentication:Full-Username = abc123@domain.es
  • Authentication:Username = abc123

Autenticamos sobre nuestro LDAP utilizado el filter query = (uid=%{Authentication:Username})

 

Aleatoriamente ClearPass realiza mal la asiganción de atributos y genera:

  • Radius:IETF:User-Name = abc123@domain.es
  • Authentication:Full-Username = abc123@domain.es
  • Authentication:Username = anonymous

Es decir, utiliza el outer identity y al consultar el LDAP obviamente da un error. Lo extraño es que le asigna el Role [User Autenticated] a parte de nuestro Role CLOACA.

 

En el Access Tracker podemos ver los errores con el filtro:

  • (Login Status equals REJECT) and (Roles contains Autenticated)

Tenemos ClearPass 6.4.4 y hemos detectado que afecta aleatoriamente a diferentes dispositivos y protocolos EAP (iPhone, Android, PEAP, TTLS,...) provocando REJECT a peticiones radius (un ratio por minuto de 5 errores por 300 requests). Después del REJECT el usuario vuelvue a autenticar y no hay problema.

 

Los logs indican:

 

WARN REC.EvaluatorCtx - Prerequisites set is empty, not populating the Request Map

INFO Core.PETaskScheduler - ** Completed PETaskAuthSourceRestriction **

DEBUG Util.ParameterizedString - ParameterizedString Values=: (uid=anonymous)

WARN Ldap.LdapQuery - Failed to get value for attributes=Department, Email, Groups, Phone]

INFO Core.PETaskRoleMapping - Roles: User Authenticated], CLOACA

 

Gracias por adelantado y perdonad la extensión del post.

Toni Pérez

 

 

MVP
Posts: 4,238
Registered: ‎07-20-2011

Re: ClearPass utiliza el "outer identity" en "Authentication:Username"

Puedes utilizar el strip :

2015-02-26 08_56_11-ClearPass Policy Manager - Aruba Networks.png

Thank you

Victor Fabian
Lead Mobility Engineer @ Integration Partners
AMFX | ACMX | ACDX | ACCX | CWAP | CWDP | CWNA
Contributor I
Posts: 22
Registered: ‎06-09-2014

Re: ClearPass utiliza el "outer identity" en "Authentication:Username"

Hola,

 

Utilizamos el strip username y funciona.

Entiendo que ClearPass realiza un strip sobre el inner identity y el resultado es el atributo Authentication:Username.

 

Dicho atributo lo utilizamos en el filter query del servidor LDAP para obtener los atributos del usuario. (uid=%{Authentication:Username})

 

Pero cada minuto tratamos 300 autenticaciones y 5 de ellas fallan aleatoriamente.

 

Parece un bug  ya que cuando falla ClearPass ha utilizado el outer identity para generar el  Authentication:Username en vez de utilizar el inner identity. (valor "anonymous" en vez de "abc123")

 

El atributo Authentication:Full-UserName y el Radius:IETF:User-Name siempre son correctos pero no puedo utilizarlos en el filter query ya que contienen el dominio (abc123@domain.com) y el LDAP espera recibir sólo el usuario. (uid=abc123)

 

Como workaround planteaba la posibilidad de utilizar en el filter query del servidor LDAP una expresión regular sobre el atributo Authentication:Full-Username.

 

¿Hay algún manual de formato para los filter query LDAP?

 

Gracias por la ayuda,

Toni Pérez

 

 

 

Moderator
Posts: 908
Registered: ‎07-29-2010

Re: ClearPass utiliza el "outer identity" en "Authentication:Username"

Hola Toni

 

Más que encontrar un workaround, quizá seria bueno ir a la raíz del asunto. Antes de nada, si no estáis ya en la versión 6.4.4 intentad actualizar cuanto antes. La versión 6.4 mejora de forma significativa el rendimiento en auths/segundo.

 

Por otro lado, si sospechas de un bug abre un caso con el TAC por favor. La única forma de arreglar estos problemas es a través de ellos.

 

Saludos

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Moderator
Posts: 908
Registered: ‎07-29-2010

Re: ClearPass utiliza el "outer identity" en "Authentication:Username"

Por cierto, creo que no se pueden usar expresiones regulares en filtros de LDAP. Mira este enlace:

https://www.centos.org/docs/5/html/CDS/ag/8.0/Finding_Directory_Entries-LDAP_Search_Filters.html#Search_Filter_Syntax-Using_Compound_Search_Filters

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Contributor I
Posts: 22
Registered: ‎06-09-2014

Re: ClearPass utiliza el "outer identity" en "Authentication:Username"

Hola Samuel,

 

Antes de postear informé a nuestro integrador para que abriera un caso y estamos pendientes de respuesta. Planteaba el workaround para intentar evitar el problema lo mas rápido posible.

 

Efectivamente estamos en la versión 6.4.4. Al ser un cluster de 3 servidores voy a sacar uno y hacerle un upgrade a la versión 6.5.0 para verificar si cambia el comportamiento (también hay un par de funcionalidades nuevas que  quiero probar).

 

¿Podéis verificar en vuestras instalaciones si tenéis el mismo comportamiento?

Con el siguiente filtro en el Access Tracker salen los errores:

Captura.23.png

Gracias por la ayuda,

Toni Pérez

Contributor I
Posts: 22
Registered: ‎06-09-2014

Re: ClearPass utiliza el "outer identity" en "Authentication:Username"

Hola,

 

He hecho un upgrade a ClearPass 6.5.0 y detecto el mismo problema con el mismo ratio (5 errores cada 300 peticiones por minuto).

En modo debug se observa que utiliza el outer identity en vez de el inner al buscar los atributos y obviamente falla la autenticación en LDAP. 

 

Sigo pendiente del integrador para que abra el caso.

 

Logs:

DEBUG RadiusServer.Radius - User-Name = "abc123@domain.com"

DEBUG RadiusServer.Radius - Stripped-User-Name = "anonymous"

DEBUG RadiusServer.Radius - Outer-Username = "anonymous@domain.com"

DEBUG IAT.InputAttrTable - getValue: Got value for attr=Radius:IETF:Stripped-User-Name from holder=RadiusIOAttrHolder value=anonymous

DEBUG Common.SimpleAttrTable - dump: Attr=Authentication:Full-Username Value=abc123@domain.com

 

 

Saludos,

Toni Pérez

Search Airheads
Showing results for 
Search instead for 
Did you mean: