Foro en Español

Reply
Contributor I
Posts: 34
Registered: ‎09-16-2014

Timers portal cautivo

Debido a quejas por tiempos de re-autenticación de usuarios en un portal cautivo, deseo ampliar la duracción del tiempo de inactividad a 1800s (30min) y tiempo máximo de sesión de usuario autenticado a 120 min. Leyendo la documentación y algunos hilos del foro de airheads veo que el comportamiento varía a partir de la versión 6.2 y existen tres timers:

  • “station ageout”, asociado a un SSID, por defecto 1000s
  • “user idle”, definible por servicio y, también, globalmente. Por defecto veo que el primero viene indefinido por defecto y el global es 300s
  • aaa-profile user-idle-timeout, que parece aplicar únicamente en dispositivos que señalizan su desconexión

A partir de la 6.2, creo interpretar que el usuario es borrado de la tabla tras alcanzar el valor máximo  entre user idle y station ageout. 

 

Así pues, creo tener claro que fijando a 1800 los timers "station ageout" y "user idle" cumplo el primero de los objetivos, pero, si el usuario cursa tráfico, por razones de seguridad, ¿qué timer debería tocar para dejar una sesión máxima de 120 minutos?

 

Moderator
Posts: 933
Registered: ‎07-29-2010

Re: Timers portal cautivo

Hola

 

Creo que estáis intentando gestionar con el controlador algo que se puede hacer de manera mucho más eficiente con Clearpass. ¿Por qué no configuráis un "MAC caching" sencillito en el acceso de invitados? Al delegar esto en Clearpass puedes tener timeouts bajos en el controller (con lo que evitas tener demasiadas sesiones residuales) sin que los usuarios tengan que estar haciendo login una y otra vez en el portal.

 

Si no tienes claro cómo configurar el MAC Caching, echa un vistazo a "Configuration > Start Here". Allí hay un wizard que te lo hace prácticamente todo. Para los que, como yo, no sois demasiado amigos de utilizar "wizards" sin entender qué hay por debajo, en este enlace se explica de forma bastante clara cómo hacer un MAC Caching manual.

 

saludos

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Contributor I
Posts: 34
Registered: ‎09-16-2014

Re: Timers portal cautivo

Gracias, pero ¿entonces no maneja la controladora ningún temporizador para obligar a reautenticarse a un usuario "activo" en un rol obtenido tras autenticarse en portal cautivo?

Conocía la opción de realizar MAC caching en Clearpass pero prefería mantener la arquitectura actual por dos motivos:

- dado que los invitados que tenemos no son "transeúntes" como en el caso de un centro comercial, no preveo un aumento descomunal en el número de sesiones a mantener por la controladora al aumentar de 300 a 1800s el user idle/station ageout timeout. Si me pidieran aumentar a un rango de 60 a 120 min quizás habría que plantearse realizar el MAC caching

- reduzco el tráfico recibido en Clearpass respecto a la opción que propones, al no implementar el servicio de MAC caching, protegiendo el servicio corporativo de una recepción alta de peticiones/s

Moderator
Posts: 933
Registered: ‎07-29-2010

Re: Timers portal cautivo

Perdona, he estado toda la semana fuera y he dejado el foro un poco desatendido.

 

El temporizador que tiene la controladora para obligar a reautenticarse a un usuario es el SessionTimeout. El valor por defecto es bastante alto, así que yo lo que suelo hacer es enviarlo de vuelta desde el Clearpass. Es tan sencillo como añadir a tu Enforcement profile un Radius:IETF > SessionTimeout > %{Authorization:[Guest User Repository]:RemainingExpiration} en el servicio de autenticación del portal cautivo.

 

En cuanto a si es mejor utilizar MAC Caching o no, supongo que va en gustos. Yo personalmente soy MUY partidario de aplicarlo siempre. No hay cosa que más me fastidie que tener que meter las credenciales el el portal cautivo cada vez que se me suspende el portatil/móvil.

 

Y si lo te preocupa es subir la CPU de Clearpass... Creo que son bastante más dañinas las miles de sesiones https que le están yendo a la CPU del controller (y que este está intentando redirigir sin éxito al portal) de aplicaciones como whatsapp, facebook, gmail, etc, etc Además, una autenticación MAC apenas le consume recursos al CPPM. Pero bueno, lo dicho, va en gustos :)

 

Saludos!

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Search Airheads
Showing results for 
Search instead for 
Did you mean: