Forum Français

Reply
Highlighted
New Contributor

[Clearpass] Gestion du HTTPS et configuration Certificat du portail Guest

Bonjour,

 

Je suis nouveau dans l'univers wifi d'Aruba. Je souhaiterais avoir plus d'informations sur un problème que je rencontre avec Clearpass.

L’architecture est la suivante :

  • L’infrastructure est composée de 8 sites disposant de bornes IAP configurées pour joindre une VM Clearpass commune.
  • Cette VM Clearpass est hébergée sur le site de Paris et est accédée par les IAP sur la base de son adresse IP publique (via NAT sur firewall externe).

Voici le comportement lorsque j’ouvre le navigateur d’une machine se connectant au wifi guest.

 

1. Je suis redirigé vers l’adresse suivante : https://PublicClearpassIP/companyname.php?cmd=login&mac=94:65:2d:a4:57:12&essid=COMPANYNAME_Guest&ip=192.168.70.31&apname=AP6-7&apmac=20%3Aa6%3Acd%3Ac0%3Aa0%3Aca&vcname=instant-C0%3A9F%3AAA&switchip=securelogin.arubanetworks.com&url=http%3A%2F%2Fconn...

J’ai un message « Page non sécurisée, souhaitez-vous continuer ? ».

 

2. Je clique sur Continuer et je suis redirigé vers cette adresse là : https://PublicClearpassIP/guest/companyname.php?cmd=login&mac=94:65:2d:a4:57:12&essid=COMPANYNAME_Guest&ip=192.168.70.31&apname=AP6-7&apmac=20%3Aa6%3Acd%3Ac0%3Aa0%3Aca&vcname=instant-C0%3A9F%3AAA&switchip=securelogin.arubanetworks.com&url=http%3A%2F%...    

 

Pour l’instant, il me semble évident qu’il faut faire l’acquisition d’un certificat signé par une autorité de certification publique si je veux que le portail ne présente plus d’erreur lorsque je remplis le formulaire. Cependant, au cours de mes recherches sur le sujet, je suis tombé sur cet article http://community.arubanetworks.com/t5/Technology-Blog/Captive-Portal-why-do-I-get-those-certificate-warnings/ba-p/268921

 

Ces conclusions m’étonnent et je voudrais donc vous poser plusieurs questions :

  • Une fois le guest authentifié, le portail Clearpass fait-il de l’interception HTTPS et joue-t-il un MITM (via une AC intermédiaire ou autre) ?
  • Est-il possible de désactiver ce comportement pour qu’il soit l’équivalent d’un proxy sans interception https?
  • Pour que le certificat soit valable, il faut également que le portail redirige vers le nom de domaine et non l’IP directement. Comment configurer ce comportement dans Clearpass ?
  • Quelle est la différence entre le certificat visible dans « Clearpass policy Manager>Administration>Certificates>Server Certificate » et celui dans « Clearpass Guest>Onboard>Autorité de certificat » ?

Merci d’avance pour vos réponses.

 

Jérémy

New Contributor

Re: [Clearpass] Gestion du HTTPS et configuration Certificat du portail Guest

Bonjour Jéremy 

 

Dans un premier temps on va oublier l'article auquel tu fais réference, qui traite de l'impossibilité d'être redirigé vers le portail captif,  lorsque qu'un utilisateur se connecte au réseau guest, et essaye de se connecter (avant authentification) en HTTPS à de gros sites style google ou Facebook

 

On va déjà faire un rappel (pas forcémént complet) sur le fonctionnement d'un portail captif en interception/redirection :

  1. l'utilisateur s'associe au réseau guest, le contrôleur met cet user dans un rôle de pré-authentification
  2. l'utilisateur envoie une requète HTTP. Cette dernière est interceptée par le contrôleur, qui renvoie par un HTTP redirect l'URL du portail captif au client.     
  3. la page de connexion du portail captif apparait dans le navigateur du client. le client s'authentifie, clearpass valide les credentials du client, puis demande au client d'envoyer un HTTP post au contrôleur avec ses credentals.
  4. Le contrôleur envoie une requete radius à Clearpass pour identifier  le client. Si cette authentiifcation est OK, clearpass renvoie au contrôleur le rôle adéquat pour le client, qui dès lors, peut surfer.    

Si tu as besoin de plus d'info sur cette séquence, voici un lien intéressant : http://community.arubanetworks.com/t5/07-19-13-Expert-Day/How-does-captive-portal-authentication-really-work-with/td-p/87208 

 

Désolé d'avoir été aussi long, mais je pense que ce rappel est important. Maintenant, je réponds à tes questions. 


wrote:

 

 

  • Une fois le guest authentifié, le portail Clearpass fait-il de l’interception HTTPS et joue-t-il un MITM (via une AC intermédiaire ou autre) ?

Techniquement c'est le controlleur (traditionnel ou le controlleur virtuel Instant) qui intercepte la requette HTTPS/HTTP et redirige vers l'URL de clearpass.  A aucun moment, ni le controlleur ni Clearpass fait du Man-in-the-middle  proxy comme le ferait un firewall nextgen

  • Est-il possible de désactiver ce comportement pour qu’il soit l’équivalent d’un proxy sans interception https?

Tu peux configurer le portail captif en HTTP si tu veux, mais ce n'est pas recommandé, d'autant plus que tes flux d'authentifcation guest passent à travers un réseau internet


 

  • Pour que le certificat soit valable, il faut également que le portail redirige vers le nom de domaine et non l’IP directement. Comment configurer ce comportement dans Clearpass ?

Cela ne se configure pas dans clearpass mais au niveau du controlleur. Lors de la configuration sur le contolleur, au lieu de définir une adresse, il faut definir un nom de domaine :  

  • Quelle est la différence entre le certificat visible dans « Clearpass policy Manager>Administration>Certificates>Server Certificate » et celui dans « Clearpass Guest>Onboard>Autorité de certificat » ?

Le certiifcat qui t'interesse est le premier ( et plus précisement le certificat pour l'HTTP). Le second est lié à l'autorité de certification du module Onboard, utilisé pour déployer des certificats sur des postes clients dans un cadre BYOD

 

 

A+

 

 

New Contributor

Re: [Clearpass] Gestion du HTTPS et configuration Certificat du portail Guest

Bonjour Loic,

 

Le rappel ne faisait pas de mal, cela m'a permis d'aller même un peu plus loin ;).

 

Merci pour tes réponses, c'est très clair!

 

Jérémy

Search Airheads
cancel
Showing results for 
Search instead for 
Did you mean: