Foro en Español

Reply
Contributor II
Posts: 39
Registered: ‎05-25-2015

¿Soporte de grupos anidados de Directorio Activo en CPPM?

[ Edited ]

Hola,

 

He buscado por mensajes previos y no encontré nada parecido, así que pongo la cuestión.

 

Queremos autorizar el acceso a la aplicación Guest de Clearpass utilizando como criterio la pertenencia a un grupo determinado de Directorio Activo (ej: GRUPO_GUEST). Hasta ahora los usuarios pertenecían directamente al grupo, con lo cual la simple comprobación del atributo "memberOf" del usuario era suficiente (Authorization:DirectorioActivo:memberOf CONTAINS "GRUPO_GUEST").

 

Sin embargo, estamos tratando de organizar mejor la estructura de grupos y queremos pasar a utilizar grupos anidados (nested groups): esto es, el usuario "PEPE" pertenece al grupo "DEPARTAMENTO1", y el grupo DEPARTAMENTO1 pertenece a GRUPO_GUEST (al igual que DEPARTAMENTO2 y DEPARTAMENTO3). Al pasar a este modelo, la regla de autorización anterior deja de funcionar, porque el atributo "memberOf" de "PEPE" ya no contiene la cadena de texto GRUPO_GUEST, sino que contiene únicamente DEPARTAMENTO1. El problema se complica aún más cuando hay más de un nivel de anidación...

 

¿Hay alguna forma de reescribir esta regla, o de activar algo para que esto funcione? Los grupos anidados son una funcionalidad básica y muy útil del Directorio Activo y renunciar a ello supondría un problema grave de funcionalidad y de responsabilidad en la gestión de grupos...

 

Saludos

MVP
Posts: 4,228
Registered: ‎07-20-2011

Re: ¿Soporte de grupos anidados de Directorio Activo en CPPM?

Utiliza este documento que agrege 

Thank you

Victor Fabian
Lead Mobility Engineer @ Integration Partners
AMFX | ACMX | ACDX | ACCX | CWAP | CWDP | CWNA
Contributor II
Posts: 39
Registered: ‎05-25-2015

Re: ¿Soporte de grupos anidados de Directorio Activo en CPPM?

Gracias, funciona correctamente...

 

Ahora bien, el anidamiento de grupos es una característica básica del Directorio Activo y, sinceramente, creo que es un fallo tremento de Aruba el no soportar esto Out-of-the-box. Seguro que no soy el único que agradecería que esto funcionase de forma nativa.

 

Saludos

Aruba Employee
Posts: 19
Registered: ‎10-17-2013

Re: ¿Soporte de grupos anidados de Directorio Activo en CPPM?

Hola,

 

En el documento adjunto se explica otra manera más sencilla.

 

Salut!

Xavi

Contributor II
Posts: 39
Registered: ‎05-25-2015

Re: ¿Soporte de grupos anidados de Directorio Activo en CPPM?

Ya implementé la primera solución.... aunque es cierto que esta segunda es más simple y me asalta la gran duda..... ¿cual es la recomendada por Aruba, teniendo en cuenta el posible roadmap de funcionalidad que pudiese seguir Clearpass?

 

Gracias y un saludo

Contributor II
Posts: 39
Registered: ‎05-25-2015

Re: ¿Soporte de grupos anidados de Directorio Activo en CPPM?

Parecía que funcionaba, pero no.... no fui capaz de hacer funcionar lo del primer documento, quizá está redactado para versiones más antiguas de CP.

 

El segundo documento ha funcionado a la primera, mucho más sencillo y además independiza la política del número de niveles de anidamiento existentes.

 

Gracias!

Moderator
Posts: 906
Registered: ‎07-29-2010

Re: ¿Soporte de grupos anidados de Directorio Activo en CPPM?

En mi experiencia los grupos anidados dan bastante guerra, principalmente por temas de latencia. Mirad a ver si aumentando el timeout de la base de datos os funciona mejor.

 

En cualquier caso, tened en cuenta que hacer búsquedas en grupos anidados de AD machaca muchísimo la CPU del servidor que aloja la base de datos. Si no queda más remedio que hacerlo, que sea para consultas de tipo acceso administrativo a equipos o algo así, no para 802.1X porque podéis saturar a vuestro controlador de dominio con ese tipo de búsquedas.

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Contributor II
Posts: 39
Registered: ‎05-25-2015

Re: ¿Soporte de grupos anidados de Directorio Activo en CPPM?

Samuel,

 

En primer lugar gracias por la advertencia....

 

Según lo que yo sé los grupos anidados son una 'Best Practice' de Microsoft a la hora de gestionar permisos de accesos basados en grupos. De hecho la existencia de tres tipos de grupos (Universales, Locales y Globales) está orientada a organizar de forma coherente y con el menor impacto esto.

 

Esa es la teoría... pero es que la práctica me dice lo mismo en cuanto a funcionalidad: el hecho de definir un grupo "GRUPO_ACCESO_WIFI", y que a él pertenezcan colectivos (ej: GRUPO_DEPARTAMENTO_1) simplifica y hace mucho más clara la gestión del sistema, y además independiza la gestión del sistema WIFI de la gestión de roles de usuarios (tarea típicamente realizada por algún grupo interno que se dedica específicamente a esto).

 

Según lo que comentas nos arriesgamos a un impacto en el rendimiento en el Directorio Activo.... Sin embargo la carga de un controlador de dominio de AD típicamente no suele ser alta. Si a esto unimos el hecho de que está instalado en una máquina física (esta vez por requerimientos de independencia de sistemas de Microsoft), probablemente un potencial aumento de carga no supondría un grave impacto.

 

Poniendo en una balanza la funcionalidad y flexibilidad que ofrecen los grupos anidados frente a un potencial aumento de carga creo que (al menos en nuestro caso) la balanza se inclina claramente por el lado de la funcionalidad, es decir, por usar grupos anidados. El coste operativo de mantener grupos añadiendo uno a uno a los usuarios nos parece muy alto comparado al potencial coste de un incremento de carga, que muy probablemente puede ser absorbido sin mayor impacto por el hardware existente.

 

Gracias a todos por la ayuda!

Search Airheads
Showing results for 
Search instead for 
Did you mean: