Foro en Español

Reply
Occasional Contributor I
Posts: 6
Registered: ‎08-06-2014

Re: Cómo progresar el usuario desde Aruba hacia el Fortigate

Hola, estoy haciendo un test con FortiOs 5.2 como controller de antennas FortiAP, que tiene la posibilidad de linkar un external captive portal para registrar los guests, me gustaria usar el proceso de gestion de los Guest de Clearpass en vez de lo de Fortinet que todavia es muy simple.

tengo dos problemas : el primero es que el clearpass tiene que informar con una POST http al Fortigate que el Guest està autenticado pasandole una serie de parametros que todavia parece no gestirlos, el segundo problema es que no logro utilizar RSSO (Radius Single Sign On) por pasar el User-Group como accounting response del Radius.

 

Alguien me puede ayudar ?

agrego schema interno de Fortinet en merito a las ultima funcionalidad salida con FortiOs 5.2

 

fortiradius.jpg

Super Contributor I
Posts: 290
Registered: ‎11-05-2012

Re: Cómo progresar el usuario desde Aruba hacia el Fortigate

Hola Estimado:

 

Respecto a los inconvenientes que tienes te puedo sugerir lo siguiente:

 

1. El portal cautivo de Fortinet aun no lo he usado para el OS 5.2, Sin embargo para que la autenticación sea viable ClearPass debe de enviar parametros desde el portal web al controlador de Fortinet. En tu web login de Guest tendrás que usar un Custom Settings y colocar el Submit URL, el metodo (Post/GET).

Anexo captura1

 

2. Para el uso de RSSO deberás activar en la interface del Foritgate la opción LISTEN FOR RADIUS ACCOUTING MESSAGES. Además deberán en Authentication --> Single Sign-On un RADIUS SINGLE-SIGN-ON Agent.

Anexo captura 2

Luego crearas un grupo como Radius Single Sign-On (RSSO), colocarás en Radius Attribute Value = Fortinet-Group-Name.

Anexo captura 3

Finalmente en tu política de Firewall, crarás una basada en identidad y añadiras el grupo RSSO que has creado.

 

En CPPM deberás crear un enforcement Profile, y en ello colocarás el nombre del grupo que creaste en Fortigate.

Seleccionaras Tipo Fortinet. el atributo  Fortinet-Group-Name, en valor el nombre del grupo.

Anexo captura 4

 

Saludos,

 

Eduardo Paredes

ACMP - ACCP

skype: e.paredesburga

 

 

Moderator
Posts: 867
Registered: ‎07-29-2010

Re: Cómo progresar el usuario desde Aruba hacia el Fortigate

Hola

 

He separado este hilo del original, ya que el otro trataba sobre cómo reenviar el accounting de un controller Aruba hacia un Firewall fortinet y este de cómo autenticar FortiAPs contra Clearpass. Por favor edita el título para que quede más claro.

 

Muchas gracias!

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Occasional Contributor I
Posts: 6
Registered: ‎08-06-2014

Re: Cómo progresar el usuario desde Aruba hacia el Fortigate

Hola Edoardo,


1. Si eso lo habia entendido, pero no funciona....yo pienso que es porque el Fortinet agrega sus informaciones al redirect url del portal cautivo....ma en CPPM no es la pagina de auto-registracion sino la pagina de receipt che tiene el butòn de Login y que tendria de enviar el http POST al Fortigate....ma lo que veo es che el browser, despue que se hace click en "Login" depsues de 10 segundos mas o meno, deja en el campo url la direccion de la pagina de authentication del Fortigate ( xx.yy.zz.aa:1000 o https:xx.yy.zz.aa:1003) sin parameter y la conexion no marcha.

 

Lo que no se es como pasar el parametro "magic" que es el identificativo unico de session (y es una variable....cambia cada sessiones)

OK y gracias por las otras respuestas.

 

guest-login.jpg

 

guest-receipt.jpg

 

error.jpg

 

naslogin.jpg

 

fortigate.jpg

 

Super Contributor I
Posts: 290
Registered: ‎11-05-2012

Re: Cómo progresar el usuario desde Aruba hacia el Fortigate

Hola:

 

Exactamente, el detalle esta en la customización de los parametros del Sumbit URL. En este caso, tendrás que solicitar a Fortinet que te envie cuales son los parametros que tienes que colocar, para que así pueda ser factible. Todo esta en esa parte.

 

Nos comentas si logras realizarlo.

 

Saludos,

Super Contributor I
Posts: 290
Registered: ‎11-05-2012

Re: Cómo progresar el usuario desde Aruba hacia el Fortigate

[ Edited ]

Estimado:

 

Prueba utilizando algunso de los atributos en el formulario personalizado del clearpass. Nos avisas como te va.

 

<div class="oc">
      <div class="ic">
        <form action="%%AUTH_POST_URL%%" method="post">
          <input type="hidden" name="%%REDIRID%%" value="%%PROTURI%%">
          <input type="hidden" name="%%MAGICID%%" value="%%MAGICVAL%%">
          <h1 class="logo">
            Authentication Required
          </h1>
          <h2>
            %%QUESTION%%
          </h2>
          <div class="fel">
            <label for="ft_un">
              Username:
            </label>
            
            <input name="%%USERNAMEID%%" id="ft_un" type="text" autocorrect="off" autocapitalize="off" style="width:230px">
            <br>
          </div>
          <div class="fel">
            <label for="ft_pd">
              Password:
            </label>
            
            <input name="%%PASSWORDID%%" id="ft_pd" type="password" autocomplete="off" style="width:230px">
          </div>
          <div class="fer">
            <input type="submit" value= "Continue">
          </div>
        </form>
      </div>

 

Saludos,

 

Occasional Contributor I
Posts: 6
Registered: ‎08-06-2014

Re: Cómo progresar el usuario desde Aruba hacia el Fortigate

Hola Eduardo,

Traté de pasar parámetros adicionales e nel NAS Login Form (agrego screenshot) sin solucionar el problema....

Tomando una traza con Wireshark puedo ver che la redireccion hasta al portal cauptivo ya viene con los parametro de la POST :

 

GET /guest/fortiguest.php?login&post=http://192.168.4.99:1000/fgtauth&magic=0002038395a65c6a&usermac=00:24:d7:43:89:2c&apmac=08:5b:0e:13:72:ba&apip=169.254.254.2&userip=192.168.4.100&device_type=linux-pc 

 

 

per el Clearpass al final manda lo que le gusta ad el jajajajaajaj :

POST /fgauth HTTP/1.1\r\n
[Expert Info (Chat/Sequence): POST /fgauth HTTP/1.1\r\n]
Request Method: POST
Request URI: /fgauth
Request Version: HTTP/1.1
Host: 192.168.4.99:1000\r\n
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:29.0) Gecko/20100101 Firefox/29.0\r\n
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\n
Accept-Language: it-IT,it;q=0.8,en-US;q=0.5,en;q=0.3\r\n
Accept-Encoding: gzip, deflate\r\n
Referer: http://10.15.44.254/guest/fortiguest_receipt.php\r\n
Connection: keep-alive\r\n
Content-Type: application/x-www-form-urlencoded\r\n
Content-Length: 148\r\n
\r\n
[Full request URI: http://192.168.4.99:1000/fgauth]
Line-based text data&colon; application/x-www-form-urlencoded
username=amigopod%40aruba.com&password=3530343739353030&%25%25REDIRID%25%25+value=%25%25PROTURI%25%25&%25%25MAGICID%25%25+value=%25%25MAGICVAL%25%25

 

No tengo idea de como seguir adelante...

 

naslogin1.jpg

 

 

Super Contributor I
Posts: 290
Registered: ‎11-05-2012

Re: Cómo progresar el usuario desde Aruba hacia el Fortigate

Hola,

 

Estimado que tal.

 

Te adjunto dos imagenes, tenes que validar con alguna de ellas.

 

Valida con ello, mientras voy a tratar de realizar un Lab para ver si puedo apoyarte con ello.

 

Saludos,

Occasional Contributor I
Posts: 6
Registered: ‎08-06-2014

Re: Cómo progresar el usuario desde Aruba hacia el Fortigate

[ Edited ]

Lo siento....mismo resultado, si necesita te envio la trace.pcap

 

la pagina de authenticacion de Fortinet is http://<IP_Fortigate>:1000/fgauth

 

or

 

https://<IP_Fortigate>:1003/fgauth 

 

ma falta pasarle el parametro de sesion que es el famoso "magic", que es el identificativo de session,

 

el POST que agrega el Fortinet quando manda la redireccion al client es : GET /guest/fortiguest.php?login&post=http://192.168.4.99:1000/fgtauth&magic=0002038395a65c6a&usermac=00:24:d7:43:89:2c&apmac=08:5b:0e:13:72:ba&apip=169.254.254.2&userip=192.168.4.100&device_type=linux-pc 

 

Y entonce pienso que tenemo que pasarle la variable "magic" con su valor, la variable "usermac" con su valor ecc....ademas che usarname y password.

 

Si utilizo el portal cautivo integrado e nel Fortigate, el browser del usuario envia eso :

 

GU$C,E]@@dcAIN'N
5iPOST / HTTP/1.1
Host: 192.168.4.99:1000
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:29.0) Gecko/20100101 Firefox/29.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: it-IT,it;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://192.168.4.99:1000/fgtauth?0106038b96a07b51
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 108

4Tredir=http%3A%2F%2Fwww.libero.it%2F&magic=0106038b96a07b51&username=amigopod%40aruba.com&password=34384271

 

 

 

Te agrego la trace clearpass.pcap (con Clearpass como portal cautivo), y fortigate.pcap (con Fortigate como portal cautivo)

 

 

 

 

 

y despues el Fortigate envia al servidor Radius (ClearPass) la authenticacion

 

 

 

:mansad:

Super Contributor I
Posts: 290
Registered: ‎11-05-2012

Re: Cómo progresar el usuario desde Aruba hacia el Fortigate

Hola,

 

Listo adjuntalo para revisarlo

 

 

Saludos,

Search Airheads
Showing results for 
Search instead for 
Did you mean: