Foro en Español

Reply
Moderator
Posts: 867
Registered: ‎07-29-2010

[Tutorial] Portal de invitados para empleados con MAC Caching

Hola

 

Aunque ya escribí un post similar hace un tiempo, siempre ha habido mucha demanda para entender el funcionamiento del MAC Caching de empleados que acceden a través del portal. Como en anteriores ocasiones, intentaré que la explicación sea lo más sencilla posible. Sentíos libres de comentar con las dudas que os surjan.

 

Clearpass Guest

En primer lugar, comenzamos con la parte de CPG, que en este caso será muy sencilla. Basta con ir a Configuration > Pages > Web Logins y crear una página con la configuración prácticamente igual a la que viene por defecto. La única diferencia será que en este caso, para simplificar la configuración lo más posible, marcaremos "None" en la opción de "Pre-Auth Check"

Web_Login__new_No_Preauth.png

 

Esto querrá decir que no realizaremos un chequeo previo de las credenciales antes de enviarselas al controlador. No es lo ideal, pero ya habrá tiempo de entrar en más detalle.

 

ClearPass Policy Manager

Como en anteriores ocasiones, la configuración que haremos en CPPM consistirá en dos servicios, uno de autenticación web y otro de autenticación MAC.

 

En servicio de autenticación web aceptaremos autenticaciones PAP contra la BBDD de empleados. Hasta ahí todo normal. La parte interesante viene en el apartado de enforcement, donde además de enviar un "RADIUS Accept" al controller, guardaremos en la BBDD de Endpoints información relativa al usuario.

 

Para ello, lo primero será crear un Enforcement Profile que asocie esa información al dispositivo:

Este "Enforcement Profile" será de tipo "Clearpass Entity Update Enforcement":

ClearPass_Policy_Manager_-_Aruba_Networks.png

Y en él aplicaremos reglas que guarden en el Endpoint información que nos pueda interesar, como el usuario, el role, o el tiempo que queremos que dure el cacheo de la MAC:

Screen Shot 2016-01-07 at 12.56.02.png

Un detalle importante. Esto lo he hecho con la versión 6.5 de Clearpass, en la que la BBDD de [Time Source] ya nos incluye la búsqueda "Six Months DT". Si no fuera así (por tener una versión anterior) tendríamos que crearnos ese filtro en la BBDD de [Time Source].

 

Una vez tengamos los servicios creados, construir nuestra política de enforcement será muy sencillo, tan solo tenemos que aplicar las políticas de "RADIUS Accept" (para aceptar el login de usuario), [Update Endpoint Known] (para guardar la MAC como conocida) y "Employee Caching..." (para guardar info sobre el usuario en el Endpoint).

CPPM-Web Enforcement Profile.png

 

Una vez montado el servicio de autenticación web, nos queda por hacer el servicio de autenticaión MAC. En este caso, querremos que las MAC conocidas puedan conectarse a la red de invitados sin necesidad de pasar por el portal. Por tanto, nuestro servicio tendrá que ser de este estilo:

  • Autenticación de tipo MAC Auth contra la BBDD de Endpoints.
  • Autorización contra la BBDD de [Time Source] - Imprescindible, sin esto no funcionará
  • Política de enforcement para que los endpoint con un role de "empleado" y MAC no expirada puedan acceder

De todo esto, la parte más delicada es, como de costumbre, la política de Enforcement. Aquí va un ejemplo para que quede más claro:

Screen Shot 2016-01-07 at 13.00.49.png

Con esto, las MAC de los empleados serán autorizadas automaticamente, sin necesidad de pasar por el portal. El único problema es que con esta configuración perderemos visibilidad sobre quien es el "dueño" del dispositivo, ya que en todos los registros nos quedará la MAC address como usuario. Para evitar esto, podemos enviarle de vuelta al controller/AP el nombre de usuario que previamente grabamos en el "Endpoint". Para ello, nos creamos un Enforcement Profile que lo haga:

Screen Shot 2016-01-07 at 13.05.11.png

Y lo aplicamos a nuestro enforcement profile:

Screen Shot 2016-01-07 at 13.07.22.png

Con esto tendríamos lista la configuración del Clearpass, ahora sólo nos queda un mínimo detallito en la configuración del controller/AP. Esto puede aplicarse a Instant, controller Aruba, controller Cisco, etc. Lo muestro en Instant para no alargarme demasiado:

 

Configuración del AP

Ya que la idea es que validemos al usuario con su MAC address además de mediante portal, tendremos que añadir autenticación MAC a la autenticación web que haríamos normalmente. Os muestro como tengo la configuración de mi IAP en este caso:

InstantMacCaching.png

 

Como he ido explicando, y como os podréis imaginar, esto admite muchísima granularidad, pero he querido hacer algo sencillito para ir construyendo a partir de ahí. Probadlo en vuestras maquetas y poned por aquí las dudas que surjan.

 

Un saludo!

 

 

 

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Occasional Contributor II
Posts: 33
Registered: ‎01-14-2016

Re: [Tutorial] Portal de invitados para empleados con MAC Caching

Hola,

 

estamos siguiendo el manual, y tenemos alguna duda.

Los enforcement ya los tenemos configurados (enforcment.png)

 

1º Cuando vamos a crear el servicio de MAC Caching, en la parte de Access Restrictions, no sabemos que hay que poenr en el campo:

Captive Portal Access

Employee/guest/contractor access

Service_mac_caching.png

 

2º En la imagen de services, hace falta algo mas?

3º En Authentication he añadido Endpoints Repository

 

En la pestaña de Roles, donde hay que elegir el role mapping, lo hemos dejado por defecto (roles.png)

 

Podrias añadir el SUMMARY de los servicios con la configuracion final?

 

 

Contributor II
Posts: 46
Registered: ‎04-02-2013

Re: [Tutorial] Portal de invitados para empleados con MAC Caching

Hola Ricardo,

 

que version de CPPM tienes y como has llegado a "Service_mac_caching.png"? 

 

Saludos

 

ACMX #567 //ACCP//CWNA
Occasional Contributor II
Posts: 33
Registered: ‎01-14-2016

Re: [Tutorial] Portal de invitados para empleados con MAC Caching

Clearpass 6.5.5 y 6.6.0

Con el Start here y el wizard de Mac Caching

Contributor II
Posts: 46
Registered: ‎04-02-2013

Re: [Tutorial] Portal de invitados para empleados con MAC Caching

Ricardo,

 

En Captive portal tienes que indicar el nombre de tu pagina de captive portal: i.e. guestPage.php  y en guest el role ID de guest. Si lo tienes por defecto sera 2. 

 

De esta forma te deberian llegar las peticiones al policy manager y veras en el access tracker los atributos que mandas de vuelta al AP.

 

Espero que te sirva

Borja

ACMX #567 //ACCP//CWNA
Occasional Contributor II
Posts: 33
Registered: ‎01-14-2016

Re: [Tutorial] Portal de invitados para empleados con MAC Caching

Buenas,

 

os dejo un word con las capturas, he cambiado lo que comentas de la pagina de captive portal.

 

como vereis en la ultima imagen, no aparece ningun intento de login, aunque lo he hecho varias veces.

las pruebas son del dia 12.

MVP
Posts: 4,010
Registered: ‎07-20-2011

Re: [Tutorial] Portal de invitados para empleados con MAC Caching

Creo que el problema reside en la contraseña de RADIUS entre el COntrolador y ClearPass
Thank you

Victor Fabian
Lead Mobility Engineer @ Integration Partners
AMFX | ACMX | ACDX | ACCX | CWAP | CWDP | CWNA
Moderator
Posts: 867
Registered: ‎07-29-2010

Re: [Tutorial] Portal de invitados para empleados con MAC Caching

Me da un poco de miedo llevarle la contraria a Victor, pero creo que el problema no está en la contraseña de RADIUS entre controller y CP (se ve una auth mac fallida en el access tracker).

 

@Ricardo, estás metiendo las credenciales en el "self-service portal" en lugar de hacerlo en el "network login portal". Este es un portal para que los invitados puedan regenerar sus credenciales, o ver el estado de su conexión. No tiene nada que ver con lo que estás inentando hacer.

 

Mete las credenciales en el portal de network login y muestranos el error que te da.

 

saludos!

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Occasional Contributor II
Posts: 33
Registered: ‎01-14-2016

Re: [Tutorial] Portal de invitados para empleados con MAC Caching

Buenas a los 2,

 

he revisado lo de la contraseña, y estaba correcta ya que tengo un servicio para test y funciona.

 

192.168.109.92RADIUStestGuest LogonACCEPT

2016/04/14 13:51:37

Cambio lo del self_registration por lo que me comentas...ahora parece que avanzamos.

 

Te comento, el usuario del movil en cuanto se conecta a la wifi, ahora le lleva guest_register_login.php 
Ahi, tengo dos campos nombre usuario / contraseña.

hago la prueba.

pongo test/test pero en el access tracker me muestra esto:

192.168.109.92RADIUSc0eefb256de3Guest LogonREJECT2016/04/14 14:01:39

os dejo tambien una imagen.

porque si en el campo username pongo test, en el access tracker le llega el endpoint? 

 

Tambien me da fallo la autenticacion method.

Cannot select appropriate authentication method

Occasional Contributor II
Posts: 33
Registered: ‎01-14-2016

Re: [Tutorial] Portal de invitados para empleados con MAC Caching

 creo que ya se porque me mete como username el endpoint

 

/t5/image/serverpage/image-id/25492i3DE3D562F93606F3/image-size/original?v=lz-1&px=-1

 

segun lo que explicaba samuel, esto es lo que habia que hacer..pero claro...te mete como user el endpoint.

 

que habria que cambiar para que funcionara correctamente?

Search Airheads
Showing results for 
Search instead for 
Did you mean: