Foro en Español

Reply
Moderator
Posts: 933
Registered: ‎07-29-2010

[Tutorial] Cómo dar acceso a distintos perfiles de operador en Clearpass Guest

Alguno de vosotros me habéis preguntado cómo hacer para dar acceso a distintos tipos de operador en Clearpass. 

Voy a intentar que con esta explicación que de claro. Como siempre, si os quedan dudas no dudéis en preguntar.

 

En primer lugar, tenemos que crearnos un perfil de operador. Para ello, en Clearpass Guest vamos a Administrator > Operator Logins > Profiles y allí nos creamos uno nuevo, duplicamos uno existente, o utilizamos uno de los que vienen por defecto.

 

Para este ejemplo, me he creado el Profile "Empleado":

Screen Shot 2015-12-03 at 0.14.03.png

Como podéis ver, CPGuest me permite parametrizar los permisos de este operador hasta la extenuación. En mi caso le voy a dar permisos limitados a la hora de gestionar invitados (crear y modificar cuentas, pero no crear cuentas en masa) y también le voy a dar permisos para ver sus propios dispositivos BYOD:

Screen Shot 2015-12-03 at 0.19.04.png

Screen Shot 2015-12-03 at 0.19.22.png

Screen Shot 2015-12-03 at 0.19.37.png

Screen Shot 2015-12-03 at 0.19.51.png

Una vez hecho esto, podemos darle visibilidad a este usuario sobre todas las cuentas de invitado, sobre las que ha generado él, o sobre las que han generado usuarios de su mismo nivel (en este caso Empleado). Para el caso que nos ocupa, sólo permitiremos que vea cuentas generadas por él mismo:

Screen Shot 2015-12-03 at 0.24.35.png

 

Con esto tendríamos nuestro perfil de operador creado. Se podrían hacer más cosas como forzar a que el usuario vea el interfaz con un determinado "skin" o modificar los formularios que va a ver, pero eso ya os dejo que lo vayáis investigando ;) 

 

Ahora sólo nos queda asegurarnos de que el usuario cuando accede a Clearpass Guest entra al perfil que le hemos creado. Esta autenticación, como es lógico, la gestionaremos desde el Policy Manager.

 

Para ello nos vamos a "inspirar" en un perfil que viene creado por defecto en CPPM, [Guest Operator Logins]. Este perfil nos resolvería la papeleta en caso de que los operadores estén en la BBDD local de ClearPass, pero eso no suele ser el caso (normalmente están en AD o en un LDAP).

 

En primer lugar, creo un servicio de tipo "Aruba Application Authentication" y pongo como condiciones que la aplicación se llame "Guest".

Screen Shot 2015-12-03 at 0.36.58.png

Después de esto, elijo la BBDD contra la que autenticaré. En mi caso, mi AD de pruebas:

Screen Shot 2015-12-03 at 0.38.15.png

 

Y por último, me crearé una política de "enforcement" en la que si mi empleado está en un determinado grupo yo le aplique el perfil de empleado:

Política de enforcement:

Screen Shot 2015-12-03 at 0.43.30.png

Y perfil de Enforcement:

Screen Shot 2015-12-03 at 0.42.20.png

 

Con esto el empleado cuando entre en Clearpass guest verá algo de este estilo:

Screen Shot 2015-12-03 at 0.50.59.png

 

Y creo que no me dejo nada, pero como dije al principio. Si quedan dudas no dejéis de preguntar.

 

Un saludo!

 

 

 

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
orm
Occasional Contributor II
Posts: 11
Registered: ‎07-24-2013

Re: [Tutorial] Cómo dar acceso a distintos perfiles de operador en Clearpass Guest

Hola, 

 

Muchas gracias, como siempre super útil el tuto. Lo que configurado pero todavía no he podido probar por causas externas ;)

 

Gracias de nuevo y un abrazo, 

 

Óscar

Occasional Contributor I
Posts: 5
Registered: ‎04-08-2013

Re: [Tutorial] Cómo dar acceso a distintos perfiles de operador en Clearpass Guest

Hola,

Antes de nada, gracias por el tutorial.Sin embargo me queda una duda sobre el atributo que se le asigna en el Enforcement Profile. El atributo="admin_privileges" supongo que es un atributo que se crea de forma manual, ¿no es asi?

 

Muchas Gracias.

Un Saludo.

Moderator
Posts: 933
Registered: ‎07-29-2010

Re: [Tutorial] Cómo dar acceso a distintos perfiles de operador en Clearpass Guest

Como casi todo en Clearpass, esto también es configurable. Si vas a Operator Logins > Translation Rules puedes ver como hay una regla que viene creada de fábrica que liga el "admin_privileges" del CPPM con el "profile" de CP Guest.

Screen Shot 2015-12-10 at 8.37.00.png

Espero haber respondido tu pregunta con esto, pero sino repregunta :)

 

Saludos!

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Moderator
Posts: 933
Registered: ‎07-29-2010

Re: [Tutorial] Cómo dar acceso a distintos perfiles de operador en Clearpass Guest

Pongo aquí una duda muy interesante que me han mandado por correo:

 

Hola, estamos tratando de simplificar las opciones disponibles para el operador que hará de registrador Wifi.

 

Necesitamos que el menú desplegable para la impresión del recibo que le sale al operador (le estamos aplicando el formulario “Create_user_receipt_1”) cuando tiene que imprimir el recibo tenga una sola opción: imprimir la template (“recibo para imprimir”) de recibo que hemos definido.

El operador al lado del icono de print solo debería de tener la opción “recibo para imprimir” o incluso mejor que al hacer click en el propio icono de print directamente le lanzase la plantilla “recibo para imprimir” que hemos personalizado.

 

Todo esto se entiende mucho mas fácil viendo el pantallazo adjunto:

image001.png

 

Alguna idea que no permita seguir avanzando?

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Moderator
Posts: 933
Registered: ‎07-29-2010

Re: [Tutorial] Cómo dar acceso a distintos perfiles de operador en Clearpass Guest

Y, como no podía ser de otra forma, aquí va la respuesta :)

 

Creo que sólo os falta un pequeño detalle, limitar los permisos de las plantillas para que vuestros operadores no tengan acceso a todas ellas. Para ello tenéis que ir a Configuration > Receipts > Templates y una vez allí  ir haciendo click en "permissions" en cada una de las plantillas y limitando el acceso desde el usuario operador con el que estáis trabajando. 

 

Primero haríamos click sobre el muñeco de "authenticated operators" para que nos salgan más opciones, con eso nos aparece "add" y "delete".

Screen Shot 2015-12-15 at 7.58.13.png

 

Luego añadimos una opción para limitar el acceso a esta plantilla desde nuestro operador (en mi caso el operador se llama "QuickAccess".

Screen Shot 2015-12-15 at 7.58.38.png

Una vez hecho esto, guardamos y listo. Ahora a mi usuario "QuickAccess" ya no le aparecen esas opciones en el desplegable :)

 

Saludos!

 

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Search Airheads
Showing results for 
Search instead for 
Did you mean: