Foro en Español

Reply
Frequent Contributor I

Tiempo validacion clpass contra AD Windows

Buenas tardes, hemos diagnosticado que tarda mucho clearpass en enterarse de los cambios que se realizan en el directorio activo.

Adjunto captura del campo que creemos tener que modificar para que sincronice cada menos tiempo contra el AD. Tambien hemos visto el campo clear cache pero no sabemos cual tocar.

 

Un saludo

 

Re: Tiempo validacion clpass contra AD Windows

El cache timeout is exactamente el valor que debes ajustar o puedes hacer un "Clear Cache Timeout" para que sea inmediato.

Toma en consideración que cuando ajustes el cache Timeout a un valor más bajo entonces tu AD va a recibir mas Solicitudes de ClearPass
Thank you

Victor Fabian
Lead Mobility Engineer @ Integration Partners
AMFX | ACMX | ACDX | ACCX | CWAP | CWDP | CWNA
Frequent Contributor I

Re: Tiempo validacion clpass contra AD Windows

¿Habria algun comando para hacer una sincronizacion manual y no tener que ajustar los valores de cache?

Moderator

Re: Tiempo validacion clpass contra AD Windows

No tengo muy claro lo que queréis hacer, pero tengo la sensación de que estáis hablando de cosas diferentes.

 

Clearpass, como muchos otros RADIUS (al menos los que yo conozco) no hacen una consulta contra AD cada vez que reciben una petición de autenticación de un usuario, sino que cachean estas autenticaciones para evitar sobrecargar los controladores de dominio con consultas a las BBDD. El parámetro que indicaba victorfabian es el tiempo que dura cacheada en clearpass una consulta a la BBDD de AD. Como bien indicaba victor, pulsando en el botón de "clear cache" se puede borrar la información sobre autenticaciones cacheadas. Esto sobre todo viene bien cuando se están haciendo pruebas.

 

En principio esos valores de caché deberían serviros para un caso de uso normal. Pero supongo que si lo preguntáis es porque tendréis algún caso que se saldrá de la norma. Si no os importa, decidnos qué tenéis en mente y vemos si entre todos se nos ocurre algo. Si se trata de algo más delicado y preferís que lo veamos entre nosotros, no dudes en llamarme o preguntarme por email.

 

Un saludo!

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Frequent Contributor I

Re: Tiempo validacion clpass contra AD Windows

Es muy facil Samuel, al cambiar a un usuario de grupo de dominio (por tema de permisos) en el AD, clearpass tarda 10 horas en enterarse del cambio ya que es el valor que esta configurado como puse en la captura.

Habiamos pensado cambiar dicho parametro para que actualice cada hora, pero nos da miedo que pueda ocasionar algun problema.

¿Existe forma de realizar de una manera puntual dicha sincronizacion clpass -> Active Directory?

 

Un saludo

Aruba Employee

Re: Tiempo validacion clpass contra AD Windows

Es que lo que haces no es una sincronización, es una consulta que se cachea. No es lo mismo. no es que haya una manera de decirle al ClearPass "coge ahora todos los datos de todos los usuarios del AD y guárdalos para el futuro" eso es lo que yo entiendo como sincronización. Lo que tienes es una caché que se limpia de forma automática cada cierto tiempo por cada consulta/autenticación. Si reduces ese tiempo (y supongo que podrás reducirlo hasta 1 segundo) lo que consigues es prácticamente que estos atributos no se cacheen y se pidan siempre que haya un evento AAA. Tim, en este post http://community.arubanetworks.com/t5/AAA-NAC-Guest-Access-BYOD/CPPM-Authentication-Source-Cache-Timeout/td-p/200443, comenta que en una universidad grande el lo tiene a 1 hora, y sin problemas... Prueba a ver si reducirlo a 1 hora o incluso tiempos menores supone una carga excesiva para tu AD.

Search Airheads
cancel
Showing results for 
Search instead for 
Did you mean: