Foro en Español

Reply
Moderator
Posts: 908
Registered: ‎07-29-2010

[Tutorial] Autorización basada en atributos dinámicos

[ Edited ]

Hola

 

Tal como le dije a Eduardo el miércoles pasado, aquí va una explicación de cómo hacer autorización, no en base a una lista de MAC estática sino en base a atributos dinámicos sobre el "Endpoint Repository" de Clearpass.

 

Como muchos conoceréis, Clearpass va guardando la información que va conociendo sobre dispositivos conocidos en su "Endpoint Repository". Lo que quizá no sepáis es que podemos ir añadiendo información de forma dinámica sobre esos dispositivos y posteriormente utilizarla en el "Enforcement" de los mismos.

 

Para explicar esto utilizaré un ejemplo similar al del miércoles. Pongamos un cliente donde se quiera hacer derivación de VLAN/Rol en base a la MAC address del dispositivo. El miércoles pasado creábamos una lista de MAC por cada departamento para identificar a cuál pertenece cada PC. Hoy lo que os propongo es que, en la primera conexión que haga un PC en concreto, "provisionemos" ese ordenador con su departamento en concreto.

 

En primer lugar, como a priori no existe el campo "GrupoDispositivos" dentro de los atributos que puede tener un endpoint por defecto, lo creamos en Administration > Dictionaries > Attributes:

Screen Shot 2014-08-08 at 18.20.46.png

 

 

Una vez tengamos este campo, podemos hacer un "Enforcement Profile" que actualice el endpoint con esta u otra información (fijaos que se trata de un profile de tipo Post_Authentication. Para hacer un profile de este tipo tendremos que seleccionar "Clearpass Entity Update Enforcement" cuando hagamos una política nueva.

 

MarcarComoCableado.png

 

Cuando tengamos una política de este estílo podremos aplicarla donde nos plazca. Por ejemplo, si la autenticación nos viene de un determinado switch, podemos aprovechar la autenticación para marcar el endpoint con el atributo que acabamos de crear, marcarlo como conocido, etc.

 

EnforcementPolicy.png

 

 

 

Otra posible aplicación de esta capacidad que tiene clearpass sería lo que hace el "wizard" de acceso de invitados con cacheo de MAC, que añade el usuario con el que un cliente se autentica en el portal al endpoint en cuestión. Posteriormente, cuando ese cliente hace una autenticación MAC, se utiliza esa información para enviarle al NAS un campo con RADIUS:IETF:Username=Usuario para que ese cliente aparezca identificado en el controller/IAP con su usuario del portal en lugar de con su MAC.

 

Espero que os sirva de ayuda!

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Search Airheads
Showing results for 
Search instead for 
Did you mean: