日本語フォーラム

 View Only
last person joined: 4 days ago 

Arubaのソリューション、ネットワークマーケットに関する日本語ディスカッションフォーラム

[ClearPass] コンピュータ認証とユーザ認証

This thread has been viewed 6 times
  • 1.  [ClearPass] コンピュータ認証とユーザ認証

    EMPLOYEE
    Posted Dec 20, 2018 08:41 PM

    ArubaのControllerだけでも、コンピュータ認証とユーザ認証で別のRoleを適用する機能を持っていますが、ClearPassがあれば、もっと簡単に設定することができます。

     

    コンピュータ認証は英語ではMachine Authenticationと言うので、設定の都合もあり、以後Machine Authenticationと記述しています。

     

    ClearPassの一般的な認証設定やAD連携の設定はこちらをご覧下さい。

    ControllerとClearPassの設定まとめ

    日本語テクニカルリソース

     

    まずは、上記を参考に、ClearPassでADを認証ソースとした802.1x認証のサービスを設定します。

     

    ClearPassは、認証した端末がコンピュータ認証を行ったのか、ユーザ認証しか行っていないのかを記憶しています。

    例えば、認証済みユーザのアクセストラッカーログを見ると、

    使用ポリシーの「ロール」に[User Authenticated] というのが入っています。

    Screen Shot 2018-12-21 at 10.13.21.png

    これは、ユーザ認証のみが行われたことを意味します。

    つまり、

     

    ユーザ認証だけの場合:ロール=[User Authenticated]

    コンピュータ認証だけの場合:ロール=[Machine Authenticated] 

    コンピュータ認証+ユーザ認証の場合:[User Authentiacted], [Machine Authenticated]

     

    と表示されます。

     

    なので、エンフォースメント・ポリシーの設定で、このロール情報を元に、ControllerやSwitchに適用するRoleを変えてあげる設定をすればいいだけです。

    注)カタカナのロールはClearPassの内部で保持してるだけのロール、英語のRoleはRadius AttributeでControllerやSwitchに適用するRoleのことを言っています。両方”ろーる”と言ってるのでややこしいですね、、、

     

    エンフォースメントポリシーの設定例はこんな感じです。

    Screen Shot 2018-12-21 at 10.21.00.png

    上記の設定例では、以下のようにプロファイルが適用されます。

    - コンピュータ認証のみのユーザ:AOSS_MACHINE_AUTH_ROLEを適用

    - コンピュータ認証+ユーザ認証のユーザ:AOSS_USER_AUTH_ROLEを適用

    - ユーザ認証のみのユーザ:デフォルトプロファイルのAOSS_ROLE_LOCALを適用

     

    アクセストラッカーのログはこのように見えます。

    <コンピュータ認証だけ完了した時>

    Screen Shot 2018-12-21 at 10.23.16.png

    <コンピュータ+ユーザ認証が完了した時>

    Screen Shot 2018-12-21 at 10.23.28.png

    では、ClearPassが認証状態を記憶しているのは、デフォルトで24時間で、設定変更も可能です。

    設定場所は、

    管理 > サーバー・マネージャー > サーバー設定 > サービス・パラメーター

    で、サービスの選択で「Policy server」を選択し、

    一番上の「Machine Authentication Cache Timeout」で変更することが可能です。

    Screen Shot 2018-12-21 at 10.33.21.png

     

    検証環境などで、このキャッシュ情報をクリアしたい場合は、

    管理 > サーバー・マネージャー > サーバー設定 の右上にある、

    「Clear Machine Authentication Cache」でクリアできます。

    Screen Shot 2018-12-21 at 10.37.15.png