MAC認証 + 802.1X認証という要件をよく聞きます。
無線LANの設定でMAC+802.1X認証を有効にすればいいだけなんですが、
無線LAN側でその設定ができない場合や、単純な認証ではなくて、MACアドレスに応じたRoleの適用をしたい時、
ClearPassがあれば簡単に実現できます。
※Roleの適用はMACアドレスベースよりユーザベースの方がセキュアですが
キーポイントは認可(Authorization)です。
ClearPassのサービス設定で、Authorizationを有効にし、そこでEndpoint Repository(端末のデータベース)を確認することができます。このEndpoint Repositoryの情報を元にRoleを返すことができます。(もしくは情報がなければ認証拒否)
手順は簡単です。
1. Endpoint を登録、Attributeを作成
2. サービス設定でAuthorizationを有効化、Authorization Source に Endpoint Repository を追加
3. Enforcement Profile で Endpointの情報を元にRoleを適用する設定
1. Endpoint を登録、Attributeを作成
Configuration > Identity > Endpoints から端末のMACアドレスを追加します。MACアドレス毎に別のRoleを適用したければ、ここでAttributeにRoleを追加します。
2. サービス設定でAuthorizationを有効化、Authorization Source に Endpoint Repository を追加
通常の802.1X認証のサービスを作成します。
その中で、Authorizationを有効化、Sourceを追加します。
3. Enforcement Profile で Endpointの情報を元にRoleを適用する設定
最後に、Enforcement ProfileでEndpointの属性情報を元にRoleを適用する設定をします。
Default Profile を Deny Access Profile とすれば、MACアドレス情報がなければ認証失敗になります。
もう少し運用を楽にすると、以下のように設定することもできます。
以下の設定では、Enforcement Profile のRADIUS Attribute の値に"%{Endpoint:role}"と入力することで、Endpoint の情報を直接利用することができます。Endpointに限らず、"%{ }" とすることで、ClearPass内部のデータベースの値を直接利用することができるので便利です。
ClearPassはめちゃくちゃ柔軟な対応ができる高機能認証サーバです。
他にも少しずつ利用シーンを紹介していきますが、こんな設定できないの?といったリクエストがあれば是非コメント下さい。
------------------------------
Keita Shimono,
Aruba Japan SE Manager & Technical Lead
------------------------------