Foro en Español

Reply
Contributor I
Posts: 34
Registered: ‎05-25-2015

Integracion Clearpass - Cisco Catalyst 2960S para 802.1x Wired con portal captivo

Hola,

 

Tenemos intención de migrar nuestro acceso 802.1x wired, pasando de nuestro RADIUS actual (Microsoft NPS) a Clearpass. Además queremos añadir un servicio de acceso basado en portal captivo para puestos que no dispongan de agente 802.1x (ej: visitas, técnicos de soporte, etc.). Nuestra electrónica de red es Cisco Catalyst 2960S, con IOS 15.x, en las sedes principales.

 

Sabéis si existe alguna guía o manual oficial con las configuraciones o detalles a tener en cuenta?

 

Saludos y gracias

 

Moderator
Posts: 881
Registered: ‎07-29-2010

Re: Integracion Clearpass - Cisco Catalyst 2960S para 802.1x Wired con portal captivo

Echad un vistazo a este documento: 

https://support.arubanetworks.com/Documentation/tabid/77/DMXModule/512/Command/Core_Download/Default.aspx?EntryId=13217 (la configuración del switch está en la página 7)

 

He hecho la redirección a portal desde los 2960 bastantes veces y aunque tiene algún truco termina funcionando. Algunas cosillas a tener en cuenta:

  • El switch tiene que tener habilitado ip device tracking para poder aplicar acl por usuario
  • El switch tiene que tener habilitado http server y http secure server para poder lanzar el HTTP redirect
  • La acl de redirección se escribe en un formato extraño, se deniega lo que no queremos que sea redirigido al portal y se permite lo que queremos que sea redirigido al portal. 
    • No me preguntéis por qué, supongo que en la cabeza del tío que lo pensó tendría sentido.
  • A partir de la versión 15 de IOS, para que funcione el url-redirect el puerto tiene que tener una acl (típicamente un permit ip any any) previamente aplicado
  • Cuando hagáis la redirección desde Clearpass la url de redirección tendría que tener una pinta como esta:

Un saludo!

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Contributor I
Posts: 34
Registered: ‎05-25-2015

Re: Integracion Clearpass - Cisco Catalyst 2960S para 802.1x Wired con portal captivo

Gracias! Lo reviso....

Contributor I
Posts: 34
Registered: ‎05-25-2015

Re: Integracion Clearpass - Cisco Catalyst 2960S para 802.1x Wired con portal captivo

Ha funcionado, gracias!!

Lo único que en el PDF falta una cosa, en la source "Time calculator" se hace uso del atributo "Auth time" de los Endpoints, y dicho atributo no existe por defecto, hay que crearlo en Administration > Dictionaries > Attributes. Una vez se crea, voilá!

Ahora nos toca personalizar la lógica de Clearpass para nuestro caso particular.....

 

Saludos!

Moderator
Posts: 881
Registered: ‎07-29-2010

Re: Integracion Clearpass - Cisco Catalyst 2960S para 802.1x Wired con portal captivo

Perdona, fallo mío.

 

El atributo "MAC-Auth Expiry" está creado por defecto en la versión 6.5 de ClearPass, pero no en las anteriores.

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Contributor I
Posts: 34
Registered: ‎05-25-2015

Re: Integracion Clearpass - Cisco Catalyst 2960S para 802.1x Wired con portal captivo

Si, lo vi, pero el PDF hace referencia de forma explícita al atributo "Auth Time", incluso en las consultas SQL. Entonces no queda más remedio que definirlo, si no fallan...

Search Airheads
Showing results for 
Search instead for 
Did you mean: