Foro en Español

Reply
New Contributor
Posts: 2
Registered: ‎09-09-2014

Desactivar un usuario / dispositivo temporalmente y activarlo de nuevo

Hola, me he estado pegando un poco con el tema de perfiles, mac-auth, etc... pero no tengo claro si es posible hacer lo siguiente:

 

Queremos que un usuario se valida mediante un portal cautivo y tenga 1 hora de navegación. A la hora, se le bloqueará pero no queremos echarle, simplemente bloquearle durante 4 horas y partir de entonces, habilitarle 1 nueva hora de navegación y echarle.

 

No queremos que se tenga que volver a validar, simplemente que durante ese tiempo no pueda navegar.


Sería esto posible? Como se podría hacer?


Gracias y saludos.

Frequent Contributor II
Posts: 119
Registered: ‎01-14-2013

Re: Desactivar un usuario / dispositivo temporalmente y activarlo de nuevo

[ Edited ]

Hola ,

 

Si tienes un servicio de mac caching, lo que puedes hacer es usar la autorización para delimitar esos accesos:

 

un ejemplo rápido:

 

Si la cuenta está habilitada y no ha expirado, y además cumple esa franja horiaria, ( las que quieras), le aplicas un enforcement profile que le permita el acceso ( role en el controller o en el IAP). Si no lo cumple, aplica el enforcement profile por default que puede ser otro role ( role con reglas de fw para controlar el tráfico, deny/permit etc)

 

Para ello se me ocurre , ésto: 2 servicios, uno para la autenticación 802.1x ( PEAP, EAP,PAP etc) y otro para autenticación por MAC.

 

En el servicio de 802.1x, puedes poner un timeout corto a la sesión del cliente o hacer un CoA, para que luego aplique el servicio de MAC .servicios.png

 

Time-of-day.png

Si ésta opción no te sirve, se puede hacer de distintas formas pero para ello debe pasar por un servicio en el Clearpass y poder aplicar algún enforcement profile. Seguro que a alguien del foro se lo ocurren otras formas porque las posibiidades con Clearpass son espectaculares.

 

Saludos!

Moderator
Posts: 867
Registered: ‎07-29-2010

Re: Desactivar un usuario / dispositivo temporalmente y activarlo de nuevo

[ Edited ]

Hay que ver las cosas que se le ocurren a la gente... En fín, como casi todo con Clearpass, esto se puede hacer, aunque para ello vas a necesitar saber un poquito de SQL. A ver si me sé explicar para que no quede excesivamente complicado.

 

  1. En primer lugar, como dice Carlos, vas a tener que jugar MUCHO con el MAC Caching. Tanto es así que te recomendaría que hicieras un portal web de tipo "Server initiated CoA" (en la configuración de NAS del Clearpass Guest) para trabajar todo el rato con autenticaciones MAC.
  2. En segundo lugar, una vez el usuario ha pasado por el portal, tienes que marcarlo como conocido. Lo más sencillo probablemente sea usar la opción de "Update Endpoint" en la configuración del portal de Clearpass Guest.
  3. Ahora lo que toca es jugar con los tiempos. En la primera autenticación que te llega al CPPM añade dos atributos, MAC-Auth Expiry (NOW + 1 hour) y MAC-Auth Regen (NOW + 5 hours). Para hacer esto tienes que modificar la BBDD de [Time Source] y añadir los filtros SQL que te hagan esa búsqueda. En la propia definición de los atributos de esta BBDD tienes unos cuantos ejemplos en los que te puedes  apoyar, así que con añadir un filtro nuevo e ir cambiando números debería funcionarte bien. Recuerda que para añadir variables a un endpoint lo haremos siempre con una política de tipo "Clearpass Entity Update Enforcement" y que la política sería algo así como Endpoint > MAC-Auth Expiry > %{Authorization:[Time Source]:NowPlus1hr} y Endpoint > MAC-Auth Regen > %{Authorization:[Time Source]:NowPlus1hr} Este último atributo no existe, pero puedes crearlo en Administration > Dictionaries > Attributes
  4. Una vez tengas clara esta parte, lo que te tocará es irlos reseteando de manera dinámica. Tu política de Enforcement debería ser, por tanto, más o menos así:

if Authorization:[Time Source]:Now > LessThan > %{Endpoint:MAC-Auth Expiry} > Allow Access

if Authorization:[Time Source]:Now > GreaterThan > %{Endpoint:MAC-Auth Expiry} AND Authorization:[Time Source]:Now > LessThan > %{Endpoint:MAC-Auth Regen} > Deny Access

if Authorization:[Time Source]:Now > GreaterThan > %{Endpoint:MAC-Auth Regen} > Allow Access AND  MAC expiry Policy (esta es la política que hemos creado en el punto 3).

 

Aunque asuste un poco en realidad no es para tanto. La premisa fundamental es que, nada más se conecte el dispositivo guardemos en el endpoint las horas a las que expira y se regenera la cuenta. Una vez tengamos eso, lo único que tenemos que hacer es ver si "now" está entre 0 y 1 horas, entre 1 y 4 horas, o si ya se han pasado las 4 horas. Cuando se pasen las 4 horas, volveríamos a empezar :)

 

A grandes rasgos yo creo que con esto lo tendrías, mira a ver qué tal te funciona y nos cuentas.

 

saludos

 

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Search Airheads
Showing results for 
Search instead for 
Did you mean: