日本語フォーラム

last person joined: 6 days ago 

Arubaのソリューション、ネットワークマーケットに関する日本語ディスカッションフォーラム

Aruba CX スイッチで2要素認証

This thread has been viewed 7 times
  • 1.  Aruba CX スイッチで2要素認証

    Posted Sep 22, 2021 08:36 AM
    Aruba CXで2要素認証について問い合わせを受けております。

    #2021年9月の時点の情報となります。

    現時点ではAruba CX単体で2要素認証は実装されおりません。Aruba-MCやAruba-OSスイッチでは実装されておりますが、実装方法は様々となります。
    一般的にネットワークの2要素はMAC+802.1x、802.1x+WEB認証のパターンが主流かと思っています。最近ではOTPや携帯電話認証等もありますが。。

    今回はAruba CXスイッチで2要素認証についてPOSTします。
    Aruba CXスイッチでは2要素認証のConfigurationは実装されていない為、Radiusサーバー側で実装する必要があります。
    Aruba CXスイッチの認証に詳細についてはこちらをご参照下さい(P95辺りから確認ください)

    Radiusサーバーの実装にて対応可否が決まりますが、弊社のClearPassは非常に優秀なRadiusサーバーなので、こういった要件にも対応を可能となります。
    ClearPassを触っていれば、色々なConfigurationで実装可能ですが、今回はMAC+802.1xの2要素認証のシンプルなConfigurationをご紹介致します。

    ArubaCX6300シリーズのConfigurationは以下となります。
    #下記以外にRadiusサーバーの設定等も必要となります。
    ---
    interface 1/1/X
         aaa authentication port-access auth-precedence mac-auth dot1x
         aaa authentication port-access auth-priority dot1x mac-auth
         aaa authentication port-access dot1x authenticator enable
         aaa authentication port-access mac-auth enable

    ---

    Aruba CXのコマンドで"aaa authentication port-access auth-precedence mac-auth dot1x"が設定されていますので、こちらの要件に沿ってClearPassのConfigurationを実施します。
    まずは、ClearPassでMAC-Authの設定をします。
    一般的なMAC-AUTHのテンプレートを使用して頂き、以下のEnforcement-Policyを割り当てます。
    Enforcement-PolicyはE nforcement-Profileの集合体となります。
    サンプルのEnforcement-Policyの設定はどうなっているかと言うと、以下となります。
    policy
    一般的な"Allow Access Profile"に"Update Endpoint Success"のActionoをプラスしています。
    "Update Endpoint Success"のEnforcement-Profileは中身は以下となります。

    post-auth
    EndpointのStatusをUnknownからKnownに変更しています。
    これらの設定はMAC認証がOKになるとEndpointのステータスも変更しています。
    通常、Endpointのステータスは認証可否に関わらず、ClearPassにアクセスすると無条件で登録されます。
    DefaultのステータスはUnknownですが、MAC認証が成功するとEndpointのステータスを変更する事でフラグを立てています。
    Status
    Endpointのステータスは手動でも変更可能ですが、主に検証作業で使用すると思います。

    次に802.1xの認証ですが、先程のMAC-Authと関連させます。
    通常の802.1xは準備されているテンプレートから設定できますが、今回はMAC-AuthとInvolveさせます。

    Known

    こちらのEnforcement-PolicyはAuthorizationでEndpointのStatusがKnownでないものはDefault-Profileの"Deny Access Profile"にアサインするルールとなります。
    これによって、MAC認証でEndpointのステータスを変更しない限り、認証はNGとなります。

    これらの設定はServiceに集約されますので、サービスの設定を作成します。
    ここでのポイントはAuthorizationをEndpoint DBに指定する事が重要となります。
    今回は以下のような設定をしています。

    EP Status
    認証OKだけども、AuthorizationでEndpointステータスがKnownではないとDefault-Profileの"Deny Access Profile"がアサインされるサービスとなります。
    こういった設定によって、ArubaCXスイッチで2要素認証が可能となります。

    ClearPassはエンジニアにとって非常に楽しい製品となりますので、是非触って使用してください。














    ------------------------------
    Tomonori Tanamachi
    ------------------------------