Foro en Español

Reply
Contributor I
Posts: 34
Registered: ‎09-16-2014

certificado controladora para redirección portal cautivo

Hola:

 

Tras quedar invalidados los certificados en controladora para interceptar las peticiones https y redireccionarlas a un portal cautivo (p.ej. Clearpass), me queda la duda de si existiría algún inconveniente en instalar el mismo certificado en el controlador para la redirección en la controladora (firmado por una CA pública reconocida)  que el que utilizamos en Clearpass para presentar las páginas de login y autorregistro.

 

No se me ocurre ningún inconveniente para desplegar el mismo certificado en las controladoras, pero no sé si es una práctica habitual. 

 

Por último, interpreto que esta funcionalidad se corresponde con el certificado llamado de “Captive Portal” en la controladora, aunque el portal cautivo sea externo ¿correcto?

Moderator
Posts: 944
Registered: ‎07-29-2010

Re: certificado controladora para redirección portal cautivo

Si lo que has cargado en clearpass es un certificado de tipo whitelist entonces no hay problema. Ahora bien, si has cargado un certificado con el FQDN completo esto no te va a valer.

 

Me explico, cuando haces una autenticación con portal usando el método tradicional, el usuario primero es redirigido al FQDN del portal externo (ClearPass en tu caso). Una vez ha hecho el registro y le da al botón de login, las credenciales del usuario son enviadas al FQDN que tengas en el controller para que las capture y haga la auth RADIUS. Por tanto, si usas el mismo FQDN para ambos servicios lo más probable es que no llegues nunca a ClearPass.

 

Si lo que tienes es un certificado de tipo wildcard, a clearpass le puedes poner el nombre que quieras y al controller deberías llamarlo (ojo porque esto hay que configurarlo en ClearPass guest) captiveportal-login.<wildcard> (más info en este post).

 

Por cierto, esto del certificado wildcard para el portal web se soporta en controllers y clearpass desde hace tiempo, pero en Instant sólo desde la versión 4.3.

 

Saludos!

 

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Contributor I
Posts: 34
Registered: ‎09-16-2014

Re: certificado controladora para redirección portal cautivo

Es un certificado con un cn no wildcard, pero no me cuadra el comportamiento descrito al pulsar login. La controladora es un proxy http/s, por tanto, Clearpass debería enviar de vuelta las credenciales a la ip del proxy ¿no?. De otra forma seria obligatorio un certificado distinto por controladora y también una entrada dns con una ip real, situación que no se produce con el certificado por defecto
Moderator
Posts: 944
Registered: ‎07-29-2010

Re: certificado controladora para redirección portal cautivo

No, la controladora no hace proxy http/https, lo que envía es un http redirect a la url que tienes definida en el captive-portal profile.

Cuando le das al botón de login, el "http post" de las credenciales se hace a la URL que tengas definida en clearpass guest (en la configuración de NAS device). La razón por la que ese http post llega al controller es porque éste hace DNS spoofing del FQDN asociado a su certificado (por defecto securelogin.arubanetworks.com). Y no te preocupes, cuando cargues el certificado nuevo "capturara" el FQDN del certificado nuevo.
Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Contributor I
Posts: 34
Registered: ‎09-16-2014

Re: certificado controladora para redirección portal cautivo

Muchas gracias. Comprendida la parte de un portal cautivo de invitados.

 

En el caso de los portales de onboarding, entiendo que la sustitución del certificado de portal en controladoras físicas o virtuales sigue siendo muy recomendable para la redirección al portal externo (casi imprescindible en las versiones actuales) pero en el módulo de Clearpass Onboard no hace falta un FQDN específico para NAS device, porque la controladora no necesita el DNS spoofing para tratar ningún formulario, al tratarse de un diálogo dispositivo móvil - Onboard ¿es correcto?

Moderator
Posts: 944
Registered: ‎07-29-2010

Re: certificado controladora para redirección portal cautivo

Casi :)

 

Como bien dices, en la configuración de Onboard no hay un FQDN del controller que configurar. Esto es así porque no se lanza un HTTP Post durante el proceso, sino que el CPPM envía un CoA.

 

En el caso de un onboard (o de un portal de invitados basado en CoA) sólo te hace falta el certificado asociado al FQDN del ClearPass. Para lanzar un HTTP redirect el controller no necesita tener ningún certificado firmado por una CA pública.

 

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Search Airheads
Showing results for 
Search instead for 
Did you mean: