Foro en Español

Reply
Contributor II
Posts: 39
Registered: ‎05-25-2015

Integración Clearpass - Bluecoat ProxySG

Hola,

 

Próximamente vamos a activar la autenticación para navegar en nuestros Proxy corporativos de navegación, del fabricante Bluecoat.

 

A aquellos usuarios que utilicen un equipo unido a Directorio Activo no les saltará pop-up pidiendo usuario+contraseña porque los Bluecoat leen el "Security Log" del Directorio Activo utilizando un agente software (BCAAA), y por tanto ya conocen la correspondencia IP-username.

 

A aquellos usuarios no unidos a dominio sí que les saltará un pop-up cuando quieran navegar.

 

Teniendo en cuenta que todos los usuarios realizan autenticación 802.1x al conectarse a red cableada con Clearpass (ya sea con 802.1x, o con portal captivo, si no tienen agente) habíamos pensado en que Clearpass quizá podría enviar la pareja IP-username a los Bluecoat y así evitar de alguna forma que salte ese pop-up. Es decir, realizar algo parecido a lo que ya existe en la integración ClearPass - Fortinet.

 

Así que pregunto: ¿alguien sabe si esto se puede hacer? ¿alguien ha intentado hacerlo? Sé que Bluecoat tiene una API pero no se exactamente si permite aceptar este tipo de información vía API, o por otros medios.

 

Saludos

 

Saludos

Moderator
Posts: 918
Registered: ‎07-29-2010

Re: Integración Clearpass - Bluecoat ProxySG

Hola

 

No lo he probado nunca, pero tengo entendido que BlueCoat tiene la capacidad para recibir accounting radius para vincular un usuario a una dirección IP. Creo que se llama "session monitor". Si esto es así, sería suficiente con añadir la pestaña de "proxy accounting" en el servicio y redirigirle todo el accounting al proxy.

 

Pruébalo a ver qué tal va y nos dices.

 

Un abrazo!

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Contributor II
Posts: 39
Registered: ‎05-25-2015

Re: Integración Clearpass - Bluecoat ProxySG

Gracias por la indicación Samuel!

 

Hemos echado un ojo al manual de Bluecoat y efectivamente parece que esto puede hacerse, con las siguientes peculiaridades:

- Si un proxy se reinicia pierde toda la tabla de autenticaciones realizadas. Esto puede solucionarse con el clustering de los Proxy.

- El proxy espera recibir el username en el atributo "Calling-Station-ID" de la RADIUS Accounting-Request, mientras que Clearpass lo envía en el atributo "User-Name". En este caso Clearpass es más "Compliant" con el estándar que Bluecoat, así que hemos preguntado a Bluecoat si permiten leer el username del campo "User-Name" enviado por Clearpass

- Aparentemente el proxy no soporta interfaz gráfico (VPM) para definir políticas en función de lo recibido por RADIUS Accounting. De nuevo les hemos preguntad a ver si esto ha cambiado en las últimas versiones.

 

A ver que nos dicen....... lo dicho, gracias y saludos!

Search Airheads
Showing results for 
Search instead for 
Did you mean: