Hola Daniel,

Mira a ver éste post si te puede ayudar.

http://community.arubanetworks.com/t5/AAA-NAC-Guest-Access-BYOD/Limit-number-of-unique-devices-for-an-user/td-p/73586

Saludos!

Hola Samuel, lo que no se es donde configurar el servicio que se aplica al role [Guest].

Por la captura de pantalla veo que cuando creo un usuario guest local desde Clearpass Guest, se asocia a un servicio que tenemos configurado para empleados internos (con una limitacion maxima de dispositivos), lo que queria era asociarlo a otro servicio para tener otra limitacion de dispositivos maximos.

En la parte de Roles -> Guest no deja configurar nada, ¿en que parte se asocia dicho Role a un servicio en concreto?, ¿en Role Mappings?

Lo que planteas es más fácil de hacer que de explicar :) A ver si soy capaz:

Cuando haces un autoregistro de invitados uno de los parámetros que puedes configurar (y dejar oculto) es el max-simultaneous-devices (o algo así, que no tengo acceso a mi maqueta para mirarlo). Si configuras ese parámetro, cuando se cree una cuenta tendrá ese parámetro asociado, y podrás usarlo en el servicio de AAA de CPPM.

Teniendo ese parámetro, tu Enforcement Profile tendría una pinta más o menos así:

If Endpoint - Unique-Devices EXISTS AND Endpoint - Unique-Devices - GreaterThan - %{GuestUser:MaxSimultaneousDevices} (o como sea) DENY -- Esto para los invitados

If Endpoint - Unique-Devices GreaterThan 1 DENY  -- Esto es para los corporativos

... Y luego vendría el allow.

A ver si luego tengo acceso a la maqueta y puedo dar un poco más de detalle. Mientras tanto mira a ver si te apañas con esto.

Un saludo!

Lo de las sesiones simultaneas que comentas al crear un usuario Guest ya lo vi, es mas, lo pongo en 0 para que sea ilimitado, pero al aplicarlo al role [Guest] es donde solo me deja conectar 1 unico dispositivo.

Lo que me falta saber es el flujo de configuracion , una vez creado el Role nuevo (por no tocar el role guest por defecto) entiendo que tengo que crear un enforcement profile, un enforcement policies, etc...¿es asi? 

Por fín he conseguido acceso a la maqueta :)

El "problema" es que el enforcement profile que configura el wizard no toma el valor de GuestUser:simultáneous_users, sino que pone un número en concreto. Te muestro un ejemplo:

En vuestro caso, creo que tendríais que modificar la primera línea del enforcement profile y hacer algo de este estilo:

Si te fijas, en lugar de coger un valor fijo, lo que hago aquí es utilizar el parámetro que me viene desde Clearpass Guest.

Mira a ver si os resuelve el problema.

Saludos!

Muchas gracias Samuel, ya lo vi.

Tendre que realizar otro role para este servicio especifico.