日本語フォーラム

いつもお世話になっております。
関口と申します。

現在こんな構成で構築できるか考えています。
今回の構成として以下を考えておりますが、こんな構成はできるのでしょうか？

・RADIUSサーバはClearPass(CP-CX000V-VM + LIC-CP-NL-AC-10K)：今回新設
・無線コントローラーAruba7205-JP：今回新設
・認証局は外部（NetAttestEPS）を使用：既存の認証ユーザー情報がある。
・認証は802.1x（クライアント証明書使用）

既存ユーザー情報が外部Radiusにあるのでそれを使用して、CPPMとコントローラでロールを使いたい。

以上

------------------------------
sekiguchi satoshi
------------------------------

外部RADIUSとあるので、認証局＋RADIUSサーバとしてNetAttestを利用し、それをそのまま継続したいという理解でよいでしょうか。
その場合、ClearPassをRADIUS Proxyとして設定すれば動作可能です。

ただし、その場合はユーザ属性情報はNetAttestが持っているため、ユーザ属性情報を元にRoleを決めたい場合、
その設定はNetAttestでポリシーの設定をする必要があります。
NetAttestでAruba VSAをサポートしていなければ、IETFのFilter-Idなどを使ってRole名をAttributeで返す必要があります。
Filter-Idの使い方はこちらで少し解説があります。

ESSIDやAP名など、認証リクエストの情報を元にRoleを決定する場合であれば、ClearPassでポリシーの設定をし、AttributeでRoleを返すことが可能です。

------------------------------
Keita Shimono,
Aruba Japan SE Manager & Airheads Leader
------------------------------

Original Message:
Sent: Aug 25, 2021 03:17 AM
From: sekiguchi satoshi
Subject: ClearPass+外部Radius(NetAttestEPS)連携

いつもお世話になっております。
関口と申します。

現在こんな構成で構築できるか考えています。
今回の構成として以下を考えておりますが、こんな構成はできるのでしょうか？

・RADIUSサーバはClearPass(CP-CX000V-VM + LIC-CP-NL-AC-10K)：今回新設
・無線コントローラーAruba7205-JP：今回新設
・認証局は外部（NetAttestEPS）を使用：既存の認証ユーザー情報がある。
・認証は802.1x（クライアント証明書使用）

既存ユーザー情報が外部Radiusにあるのでそれを使用して、CPPMとコントローラでロールを使いたい。

以上

------------------------------
sekiguchi satoshi
------------------------------

回答ありがとうございます。
回答いただいたサイト情報を参考に検討したいと思います。

以下構成が実現するのかわかりませんが、こんな構成ですとユーザ属性情報はClearPassが持つことになり、Role制御できますでしょうか？
※Fortigateと連携してインシデント時にユーザー隔離を行いたい要件があります。

　・外部RADIUSは認証局だけ
　・ClearPass側をRADIUSサーバとして利用

以上

------------------------------
sekiguchi satoshi
------------------------------

Original Message:
Sent: Aug 26, 2021 07:44 AM
From: Keita Shimono
Subject: ClearPass+外部Radius(NetAttestEPS)連携

外部RADIUSとあるので、認証局＋RADIUSサーバとしてNetAttestを利用し、それをそのまま継続したいという理解でよいでしょうか。
その場合、ClearPassをRADIUS Proxyとして設定すれば動作可能です。

ただし、その場合はユーザ属性情報はNetAttestが持っているため、ユーザ属性情報を元にRoleを決めたい場合、
その設定はNetAttestでポリシーの設定をする必要があります。
NetAttestでAruba VSAをサポートしていなければ、IETFのFilter-Idなどを使ってRole名をAttributeで返す必要があります。
Filter-Idの使い方はこちらで少し解説があります。

ESSIDやAP名など、認証リクエストの情報を元にRoleを決定する場合であれば、ClearPassでポリシーの設定をし、AttributeでRoleを返すことが可能です。

------------------------------
Keita Shimono,
Aruba Japan SE Manager & Airheads Leader

Original Message:
Sent: Aug 25, 2021 03:17 AM
From: sekiguchi satoshi
Subject: ClearPass+外部Radius(NetAttestEPS)連携

いつもお世話になっております。
関口と申します。

現在こんな構成で構築できるか考えています。
今回の構成として以下を考えておりますが、こんな構成はできるのでしょうか？

・RADIUSサーバはClearPass(CP-CX000V-VM + LIC-CP-NL-AC-10K)：今回新設
・無線コントローラーAruba7205-JP：今回新設
・認証局は外部（NetAttestEPS）を使用：既存の認証ユーザー情報がある。
・認証は802.1x（クライアント証明書使用）

既存ユーザー情報が外部Radiusにあるのでそれを使用して、CPPMとコントローラでロールを使いたい。

以上

------------------------------
sekiguchi satoshi
------------------------------

こちら返答できておらず失礼しました。
上記構成であれば、Roleを使ったポリシー制御は可能です。ユーザ情報はClearPassが持っても構いませんが、外部Active Directoryなどを使う方が利用シーンとしては多くなります。

Fortigateでインシデント検知したことをClearPassに通知するのはどの様な仕組みをお考えでしょうか。
別途スクリプトサーバなどでClearPassのAPIを使うことは可能かと思います。
サポート対象のファイアウォールの場合ClearPassのIngress Event Engineという機能で、Syslogをトリガーにすることも機能的には可能ですが、
Forigateは限定的なサポートとなっているため、こちらをご検討される際は、一度担当の営業かSEにご相談下さい。

------------------------------
Keita Shimono,
Aruba Japan SE Manager & Airheads Leader
------------------------------

Original Message:
Sent: Aug 29, 2021 08:52 PM
From: sekiguchi satoshi
Subject: ClearPass+外部Radius(NetAttestEPS)連携

回答ありがとうございます。
回答いただいたサイト情報を参考に検討したいと思います。

以下構成が実現するのかわかりませんが、こんな構成ですとユーザ属性情報はClearPassが持つことになり、Role制御できますでしょうか？
※Fortigateと連携してインシデント時にユーザー隔離を行いたい要件があります。

　・外部RADIUSは認証局だけ
　・ClearPass側をRADIUSサーバとして利用

以上

------------------------------
sekiguchi satoshi

Original Message:
Sent: Aug 26, 2021 07:44 AM
From: Keita Shimono
Subject: ClearPass+外部Radius(NetAttestEPS)連携

外部RADIUSとあるので、認証局＋RADIUSサーバとしてNetAttestを利用し、それをそのまま継続したいという理解でよいでしょうか。
その場合、ClearPassをRADIUS Proxyとして設定すれば動作可能です。

ただし、その場合はユーザ属性情報はNetAttestが持っているため、ユーザ属性情報を元にRoleを決めたい場合、
その設定はNetAttestでポリシーの設定をする必要があります。
NetAttestでAruba VSAをサポートしていなければ、IETFのFilter-Idなどを使ってRole名をAttributeで返す必要があります。
Filter-Idの使い方はこちらで少し解説があります。

ESSIDやAP名など、認証リクエストの情報を元にRoleを決定する場合であれば、ClearPassでポリシーの設定をし、AttributeでRoleを返すことが可能です。

------------------------------
Keita Shimono,
Aruba Japan SE Manager & Airheads Leader

Original Message:
Sent: Aug 25, 2021 03:17 AM
From: sekiguchi satoshi
Subject: ClearPass+外部Radius(NetAttestEPS)連携

いつもお世話になっております。
関口と申します。

現在こんな構成で構築できるか考えています。
今回の構成として以下を考えておりますが、こんな構成はできるのでしょうか？

・RADIUSサーバはClearPass(CP-CX000V-VM + LIC-CP-NL-AC-10K)：今回新設
・無線コントローラーAruba7205-JP：今回新設
・認証局は外部（NetAttestEPS）を使用：既存の認証ユーザー情報がある。
・認証は802.1x（クライアント証明書使用）

既存ユーザー情報が外部Radiusにあるのでそれを使用して、CPPMとコントローラでロールを使いたい。

以上

------------------------------
sekiguchi satoshi
------------------------------

回答いただいておりながら、返信が大変遅くなりまして失礼いたしました。

頂いた対応方法を参考にしたいと思います。

詳細が詰まってきましたら、担当営業、SE様に相談させて頂きます。


------------------------------
sekiguchi satoshi
------------------------------

Original Message:
Sent: Sep 22, 2021 08:01 AM
From: Keita Shimono
Subject: ClearPass+外部Radius(NetAttestEPS)連携

こちら返答できておらず失礼しました。
上記構成であれば、Roleを使ったポリシー制御は可能です。ユーザ情報はClearPassが持っても構いませんが、外部Active Directoryなどを使う方が利用シーンとしては多くなります。

Fortigateでインシデント検知したことをClearPassに通知するのはどの様な仕組みをお考えでしょうか。
別途スクリプトサーバなどでClearPassのAPIを使うことは可能かと思います。
サポート対象のファイアウォールの場合ClearPassのIngress Event Engineという機能で、Syslogをトリガーにすることも機能的には可能ですが、
Forigateは限定的なサポートとなっているため、こちらをご検討される際は、一度担当の営業かSEにご相談下さい。

------------------------------
Keita Shimono,
Aruba Japan SE Manager & Airheads Leader

Original Message:
Sent: Aug 29, 2021 08:52 PM
From: sekiguchi satoshi
Subject: ClearPass+外部Radius(NetAttestEPS)連携

回答ありがとうございます。
回答いただいたサイト情報を参考に検討したいと思います。

以下構成が実現するのかわかりませんが、こんな構成ですとユーザ属性情報はClearPassが持つことになり、Role制御できますでしょうか？
※Fortigateと連携してインシデント時にユーザー隔離を行いたい要件があります。

　・外部RADIUSは認証局だけ
　・ClearPass側をRADIUSサーバとして利用

以上

------------------------------
sekiguchi satoshi

Original Message:
Sent: Aug 26, 2021 07:44 AM
From: Keita Shimono
Subject: ClearPass+外部Radius(NetAttestEPS)連携

外部RADIUSとあるので、認証局＋RADIUSサーバとしてNetAttestを利用し、それをそのまま継続したいという理解でよいでしょうか。
その場合、ClearPassをRADIUS Proxyとして設定すれば動作可能です。

ただし、その場合はユーザ属性情報はNetAttestが持っているため、ユーザ属性情報を元にRoleを決めたい場合、
その設定はNetAttestでポリシーの設定をする必要があります。
NetAttestでAruba VSAをサポートしていなければ、IETFのFilter-Idなどを使ってRole名をAttributeで返す必要があります。
Filter-Idの使い方はこちらで少し解説があります。

ESSIDやAP名など、認証リクエストの情報を元にRoleを決定する場合であれば、ClearPassでポリシーの設定をし、AttributeでRoleを返すことが可能です。

------------------------------
Keita Shimono,
Aruba Japan SE Manager & Airheads Leader

Original Message:
Sent: Aug 25, 2021 03:17 AM
From: sekiguchi satoshi
Subject: ClearPass+外部Radius(NetAttestEPS)連携

いつもお世話になっております。
関口と申します。

現在こんな構成で構築できるか考えています。
今回の構成として以下を考えておりますが、こんな構成はできるのでしょうか？

・RADIUSサーバはClearPass(CP-CX000V-VM + LIC-CP-NL-AC-10K)：今回新設
・無線コントローラーAruba7205-JP：今回新設
・認証局は外部（NetAttestEPS）を使用：既存の認証ユーザー情報がある。
・認証は802.1x（クライアント証明書使用）

既存ユーザー情報が外部Radiusにあるのでそれを使用して、CPPMとコントローラでロールを使いたい。

以上

------------------------------
sekiguchi satoshi
------------------------------