Foro en Español

Reply
Moderator
Posts: 867
Registered: ‎07-29-2010

[Tutorial] Auto-Sponsor en Clearpass

[ Edited ]

Hola

 

Supongo que más de una vez habréis desplegado una red de invitados en la que se le envía la contraseña por SMS al usuario, de esta forma nos aseguramos que quien se conecta nos da, al menos, su número de teléfono correcto. Una alternativa bastante interesante a esto del SMS podría ser enviar un de email de confirmación, en el que el usuario valide que es quien dice ser y a partir de ahí tenga acceso a la red.

 

He estado probando esto para un par de proyectos últimamente y he visto que la información que teníamos era probablemente demasiado compleja. Aquí va una versión  más simplificada para que podamos ir pasito a pasito.

 

Configuración de Clearpass Guest

Lo que he hecho ha sido crear un autoregistro en el que le doy una cuenta de 5 minutos al usuario en cuestión. Esto nos dará acceso a la red durante el tiempo suficiente para que vayamos a nuestro cliente de correo y nos "autosponsoricemos". Para ello, he seguido los siguientes pasos:

 

En primer lugar, he modificado el formulario para que la duración inicial sea de 5 minutos. Como el campo "expire_after" está en horas, he añadido el campo "modify_expire_time" para ponerlo en 5 minutos.

Screen Shot 2015-05-28 at 17.38.38.png

Primero doy a "Insert_After" para añadir un campo nuevo y a continuación añado el campo "modify_expire_time", con la siguiente configuración:

Screen Shot 2015-05-28 at 17.42.41.png

Como podéis ver, he creado un campo oculto, he puesto que el valor inicial debía ser de 5 minutos, y he forzado que siempre se use el valor inicial.

 

A continuación, nos queda enviar el email de sponsor al propio usuario para que se confirme a sí mismo. Para ello configuraremos el "sponsor approval" de la siguiete manera. No autenticación de sponsor, envío de email aprobación al propio "username", incremento de la duración de la cuenta en 8h (en mi caso) y por último dejamos la cuenta activada por defecto:

Customize_Guest_Registration__ECI_-_Autoregistro-email_.png

 

Con esto, muy a grandes rasgos, ya tendríamos lista la parte de Clearpass Guest. Esto admite muchas pequeñas mejoras, como por ejemplo modificar el email de confirmación para que tenga un texto más apropiado. Pero bueno, vamos pasito a pasito.

 

Configuración de Clearpass Policy Manager

En Clearpass Policy Manager no tenemos que hacer más que un MAC Caching sencillito, con la pequeña salvedad de que tras una autenticación contra portal forzaremos una reautenticación a los 6 minutos. Para ello, crearemos dos servicios, uno para autenticación RADIUS y otro para autenticación MAC.

 

Vamos primero con el de Autenticación RADIUS. Tendremos un servicio típico de auth contra portal en el que podremos validar que el SSID es el esperado, etc. Para lo que nos ocupa, lo más importante será el Enforcement Policy. Ahí tendremos que hacer lo siguiente:

  • [Update Endpoint Known] para dar de alta el dispositivo como conocido. Este ya viene creado por defecto
  • 6 Min Session Timeout, para reautenticar al usuario a los 6 minutos. Este es un Enforcement Profile de tipo RADIUS en el que enviamos un Session-Timeout determinado

Screen Shot 2015-05-28 at 17.58.33.png

  • Update Guest Endpoint, para guardar en el "endpoint" los datos del usuario que está conectándose a la red

Screen Shot 2015-05-28 at 18.01.41.png

Nuestro Enforcement Profile quedará, por tanto, de la siguiente manera:

Screen Shot 2015-05-28 at 18.05.46.png

 

Ya que tenemos listo nuestro servicio de autenticación web, ya sólo nos queda rematar con el servicio de autenticación MAC, para que cuando reautentiquemos al dispositivo en cuestión no llegue ni a salirle el portal. En este servicio lo único que tendremos que validar es que la cuenta de invitado asociada a esta MAC address existe y no ha expirado. Para eso, haremos un "Enforcement Policy" de este estilo:

Screen Shot 2015-05-28 at 18.15.28.png

No paséis por alto dos detalles muy importantes. En primer lugar, que tendremos que añadir la base de datos de "Guest User Repository" como fuente de autorización (para poder usarla) y en segundo lugar que tendremos que enviar de vuelta al controlador/AP que el Username no es en realidad la MAC, sino que es el username que guardé anteriormente en el "endpoint". Esto último permite que, aunque el dispositivo final haga autenticaciones MAC, yo siga viéndo el usuario con el que se registró en el portal en todos los logs.

Screen Shot 2015-05-28 at 18.13.13.png

Con esto tendríamos lista la configuración del Clearpass, ahora sólo nos queda un mínimo detallito en la configuración del controller/AP.

 

Configuración del AP

Ya que la idea es que validemos al usuario con su MAC address además de mediante portal, tendremos que añadir autenticación MAC a la autenticación web que haríamos normalmente. Os muestro como tengo la configuración de mi IAP en este caso:

Instant.png

 

Como he ido explicando, esto admite mucha más complejidad, pero he querido hacer algo sencillito para ir construyendo a partir de ahí. Probadlo en vuestras maquetas y decidme si os funciona.

 

Un saludo!

 

 

 

 

 

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Frequent Contributor II
Posts: 119
Registered: ‎01-14-2013

Re: [Tutorial] Auto-Sponsor en Clearpass

Gracias Samuel. Se agradece mucho éste tipo de Post!!

 

Saludos!

Occasional Contributor II
Posts: 33
Registered: ‎01-14-2016

Re: [Tutorial] Auto-Sponsor en Clearpass

Gracias por el post.

 

Podrias añadir las capturas del SUMMARY de la configuracion de los servicios?

Occasional Contributor II
Posts: 33
Registered: ‎01-14-2016

Re: [Tutorial] Auto-Sponsor en Clearpass

Hola,

 

en principio tengo todo "configurado" segun este post.

Pero cuando creo el usuario, me sale el receipt, y me obliga a darle a login.

 

no hay posibilidad de que el usuario se loguee directamente al crear el usuario visitante (login.png)?

 

al pulsar el login me sale la pantalla de login, meto las credenciales, se me queda asi (credenciales.png)

 

pero en el access tracker no me sale nada. que puede faltar? (access.png)

 

 

gracias!

 

Occasional Contributor II
Posts: 33
Registered: ‎01-14-2016

Re: [Tutorial] Auto-Sponsor en Clearpass

aclaro que el usuario si se crea correctamente, pero el login no va contra el policy manager

Contributor II
Posts: 46
Registered: ‎04-02-2013

Re: [Tutorial] Auto-Sponsor en Clearpass

Ricardo,

 

en el Access tracker tienes un filtro (radius), si lo quitas, ves que llegue algo al Access tracker?

 

Saludos,

Borja

ACMX #567 //ACCP//CWNA
Occasional Contributor II
Posts: 33
Registered: ‎01-14-2016

Re: [Tutorial] Auto-Sponsor en Clearpass

Lo he filtrado porque lo demas que llegaba era de Application.

Que puede faltar o que hay que añadir, para que el login vaya contra el policy manager?

Contributor II
Posts: 46
Registered: ‎04-02-2013

Re: [Tutorial] Auto-Sponsor en Clearpass

[ Edited ]

Puedes mandar un pantallazo de la configuracion del Login Form [editado]? 

Que cambios has hecho con respecto a los valores por defecto? [editado]

 

No te aparece nada en el Access tracker o te aparece como Application en vez de Radius cuando le das a "login"?

 

ACMX #567 //ACCP//CWNA
Moderator
Posts: 867
Registered: ‎07-29-2010

Re: [Tutorial] Auto-Sponsor en Clearpass

Ricardo, respondo a las 2 preguntas que hacías:

1) Para que el botón de login se pulse automáticamente tras hacer el registro tienes que añadir este texto en el "footer" del formulario de recepción:

 

<script type="text/javascript"><!--{literal}
addLoadEvent(function() {
Nwa_SubmitForm(_form_name,"ID_"+_form_name+"_submit");
});
//-->
{/literal}
</script>

 

2) La pantalla que has mostrado (credenciales.png) no es la página de login, sino la de self-service. No tengo ni la menor idea de cómo has podido llegar hasta ahí...

 

Saludos

 

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Occasional Contributor II
Posts: 33
Registered: ‎01-14-2016

Re: [Tutorial] Auto-Sponsor en Clearpass

Volvere a intentar esto la semana que viene...

 

el login del invitado (guest_register_login.php) no consigo hacerlo funcionar...intento fallos y no salen en el access tracker.

Search Airheads
Showing results for 
Search instead for 
Did you mean: