Foro en Español

Reply
Frequent Contributor I

Consulta tiempo maximo conexion ssid en controller 7210

Buenas, estoy creando un ssid unicamente para un AP con un portal cautivo para guest unicamente con registro de email sin verificar (estilo aeropuerto).

Queriamos poder limitar la conexion a un numero especifico de horas, ¿hay forma de hacerlo desde el controller o para esto tiene que intervenir clearpass?

Aruba Employee

Re: Consulta tiempo maximo conexion ssid en controller 7210

Creo que se puede hacer con CPPM.  La segunda vez que un usuario intenta autenticarse, CPPM podría enviar un role diferente que permitiría el usuario llegar a otra página web explicandole que ha agotado su tiempo del día.

Moderator

Re: Consulta tiempo maximo conexion ssid en controller 7210

Como bien dice David para hacer esto se necesita ClearPass (los controladores y otros equipos de red tienen por lo general "mala memoria" :) Así que para guardar un registro del tiempo que lleva conectado un usuario normalmente se hace con un servidor RADIUS.

 

Sería más o menos así:

 

  1. Montas un SSID abierto con autenticación MAC, CoA habilitado, y enviando accounting (incluyendo interim accounting) a ClearPass.
  2. Haces que el que el role por defecto te redirija a un portal diciendo que "lo sentimos mucho pero se te ha acabado lo bueno".
  3. En ClearPAss, en la autenticación MAC pones como autenticación [Allow All MAC] en la fase de autenticación y añades la BBDD de blacklist en la de autorización.
  4. También en ClearPass, en autorización, si el cliente no está en la BBDD de Blacklist (cuando te pasas del límite ClearPass te mete ahí) le permites conectarse con un límite de 4h. Aquí van un par de pantallazos de ejemplo:

Screen Shot 2017-09-09 at 19.48.20.pngScreen Shot 2017-09-09 at 19.47.56.png

Con este mecanismo, si el usuario recibe un deny (cosa que sólo debería ocurrir si está en lista negra) va al portal con el mensajito (seguramente lo más cómodo sea alojar el portal en ClearPass). Si no está en lista negra irá al role que tengas marcado por defecto para los invitados y podrá navegar durante el tiempo estipulado. Al cabo de ese tiempo ClearPass enviará un CoA para desconectar al usuario (como corresponde al disconnect del pantallazo de arriba) y lo meterá en lista negra (block access).

 

Y creo que esto sería todo :)

 

 

AVISO: Esto no lo he probado, así que no puedo garantizar que funcione tal cual. Pero vamos, que muy diferente no sería.

 

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Search Airheads
cancel
Showing results for 
Search instead for 
Did you mean: