日本語フォーラム

last person joined: 11 days ago 

Arubaのソリューション、ネットワークマーケットに関する日本語ディスカッションフォーラム

[ClearPass] cookbook 802.1X + MAC認可

This thread has been viewed 25 times
  • 1.  [ClearPass] cookbook 802.1X + MAC認可

    Posted Dec 23, 2020 11:56 PM

    MAC認証 + 802.1X認証という要件をよく聞きます。

    無線LANの設定でMAC+802.1X認証を有効にすればいいだけなんですが、

    無線LAN側でその設定ができない場合や、単純な認証ではなくて、MACアドレスに応じたRoleの適用をしたい時、

    ClearPassがあれば簡単に実現できます。

    ※Roleの適用はMACアドレスベースよりユーザベースの方がセキュアですが

    キーポイントは認可(Authorization)です。

    ClearPassのサービス設定で、Authorizationを有効にし、そこでEndpoint Repository(端末のデータベース)を確認することができます。このEndpoint Repositoryの情報を元にRoleを返すことができます。(もしくは情報がなければ認証拒否)

    手順は簡単です。

    1. Endpoint を登録、Attributeを作成

    2. サービス設定でAuthorizationを有効化、Authorization Source に Endpoint Repository を追加

    3. Enforcement Profile で Endpointの情報を元にRoleを適用する設定

    1. Endpoint を登録、Attributeを作成

    Configuration > Identity > Endpoints から端末のMACアドレスを追加します。MACアドレス毎に別のRoleを適用したければ、ここでAttributeにRoleを追加します。

    2. サービス設定でAuthorizationを有効化、Authorization Source に Endpoint Repository を追加

    通常の802.1X認証のサービスを作成します。

    その中で、Authorizationを有効化、Sourceを追加します。

    3. Enforcement Profile で Endpointの情報を元にRoleを適用する設定

    最後に、Enforcement ProfileでEndpointの属性情報を元にRoleを適用する設定をします。

    Default Profile を Deny Access Profile とすれば、MACアドレス情報がなければ認証失敗になります。

    もう少し運用を楽にすると、以下のように設定することもできます。

    以下の設定では、Enforcement Profile のRADIUS Attribute の値に"%{Endpoint:role}"と入力することで、Endpoint の情報を直接利用することができます。Endpointに限らず、"%{ }" とすることで、ClearPass内部のデータベースの値を直接利用することができるので便利です。

    ClearPassはめちゃくちゃ柔軟な対応ができる高機能認証サーバです。

    他にも少しずつ利用シーンを紹介していきますが、こんな設定できないの?といったリクエストがあれば是非コメント下さい。



    ------------------------------
    Keita Shimono,
    Aruba Japan SE Manager & Technical Lead
    ------------------------------