Foro en Español

Reply
Occasional Contributor I

Problemas con CoA en ClearPass y Controladora wireless

Buenos días.

 

Escribo para comentar un problema en el funcionamiento del Change of Authorization (CoA) con ClearPass y la controladora wireless.

 

La parte de CPPM estaba configurada y funcionando y sólo se estaba personalizando el portal cautivo y el formulario de auto-registro, pero sin saber el motivo el CoA ha dejado de funcionar y cuando un usuario introduce las credenciales de acceso en el inicio de sesión el ClearPass no envía el CoA o bien la controladora no está recibiendo el CoA con lo cual no se cambia el role de usuario para que pueda tener acceso a Internet.

 

Comunicación hay entre el CP y la controladora puesto que si el usuario desconecta de la red y vuelve a conectarse el MAC Caching funciona correctamente y la controladora asigna el role correspondiente al end point known.

 

Se ha revisado la configuración tanto del CPPM (policies, profiles, enforcement, services, shared secret) y la configuración de la controladora (radius server, RFC3576 server, server rules attribute) y parece todo correcto. 

 

Adjunto el log del primer inicio de sesión de un endpoint.

 

Agradezco de antemano la ayuda.

Saludos.

 

 

Re: Problemas con CoA en ClearPass y Controladora wireless

Buenas;

 

 Para poder ver un poco mas, seria conveniente ver lo que te muestra el access tracker en la pestaña output y summary, si realmente lo envia. ¿Que CoA estas enviando?

 

Segun el log que has puesto se puede ver:

 

INFO Common.GuestUserTable - Returning GuestUserSPtr for user ID carlos.maqueda@externo.uam.es


INFO Core.PETaskRoleMapping - Roles: Guest], User Authenticated]

 

INFO Core.PETaskGenericEnfProfileBuilder - getApplicableProfiles: No App enforcement (Generic) profiles applicable for this device

 

INFO Core.PETaskPostAuthEnfProfileBuilder - getApplicableProfiles: No Post auth enforcement profiles applicable for this device

 

Un saludo 

 

Angel De la Encarnacion

 

ACMP, ACCP, ACDX #544

Occasional Contributor I

Re: Problemas con CoA en ClearPass y Controladora wireless

Hola de nuevo.

 

Muchas gracias por responder.

Envío adjunta las capturas del tracker.

 

EL CoA que envía es un filter-id para que cambie al role que queremos en la controladora wireless. Envío captura también.

 

Gracias de nuevo.

Saludos.

Re: Problemas con CoA en ClearPass y Controladora wireless

Buenas;

 

 Creo que el posible problema que tienes es que la sesion MAC no queda establecida y por eso no te envia el CoA. Para probar esta teoria, deberias modificar el servicio y en los metodos de autenticacion poner "Allow all MAC AUTH", y de esta manera la sesion queda levantada y podria enviar el CoA.

 

Aun asi, en el output del clearpass has cortado el comando que realmente envias a la controladora o no te aparece nada ( es un desplegable).

 

Siendo una controladora Aruba, mi recomendacion es que envies el CoA como radius:Aruba ( user-rol), de esta manera no tienes que configurar nada en el server group y al tratarse equipos de aruba se entenderan mejor.

 

 Por ultimo si el cambio de Rol implica un cambio de Vlan, piensa que hasta que no termine la sesion no cogera de nuevo IP, entonces deberias enviar tambien terminate session.

 

Verifica en la controladora>monitoring si el cliente obtiene el rol necesario.

 

Espero que sea de ayuda,

 

Un saludo.

 

Angel De la Encarnacion.

 

ACMP, ACCP, ACDX#544

Occasional Contributor I

Re: Problemas con CoA en ClearPass y Controladora wireless

Hola de nuevo y una vez más gracias por tu tiempo y ayuda.

 

Por partes:

 

- Estoy buscando en el servicio donde cambiar el método de autenticación por el que propones (y que he visto en la sección Authentication>Methods, pero en el servicio WebAuth que tengo creado no lo veo.

- En el output no hay nada más que lo que ves en la captura, no hay menu desplegable ni nada.

- La controladora es Alcatel (OEM de Aruba) y Radius:IETF Filter-Id hacía correctamente el CoA. De todos modos he probado a cambiar lo que propones y sigo igual.

- No hay cambio de VLAN.

- En la controladora se mantiene el role inicial, aunque en el CP si se puede comprobar el cambio de Unknown a Known.

 

Hemos revisado si el firewall de la red estuviera bloqueando algo pero no hay nada, es más, se ha hecho una captura del tráfico y no hay tráfico entre el CP y la controladora en el momento que el dispositivo incia la sesión.

 

Saludos

Moderator

Re: Problemas con CoA en ClearPass y Controladora wireless

Hola

 

Lo que te comenta Ángel de usar [Allow all MAC] no tienes que aplicarlo al servicio de webauth, sino al de autenticación MAC que tendrás creado para derivar al usuario hacia el role de redirección. Si no hay una sesión RADIUS previa (la MAC auth de la que hablo) no puede haber nunca un CoA.

 

Por tanto, asegúrate de que tienes un servicio de autenticación MAC y de que estás usando el método [Allow All MAC]. En este servicio tienes que devolver el Aruba-User-Role que redirige hacia el portal de invitados cuando la mac no es conocida y el role de invitados cuando la MAC es buena.

 

 

 

Saludos

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Occasional Contributor I

Re: Problemas con CoA en ClearPass y Controladora wireless

Buenos días, pues efectivamente parece que era eso.

 

En el otro servicio estaba puesto [MAC AUTH] y creerme que funcionaba. Una vez puesto [Allow All MAC AUTH] ha comenzado a funcionar de nuevo.

 

Seguiré haciendo pruebas pero parece que está solucionado.

 

Muchas gracias a ambos por la ayuda.

Saludos.

Search Airheads
cancel
Showing results for 
Search instead for 
Did you mean: