今まで、コントローラのRoleについて少し解説してきたので、最後にClearPassを使ったRole割当てについて解説します。
ClearPassの設定方法は以下の手順で行います。
- Enforcement Profileの設定(認証時にコントローラに返すRADIUS Attributeの設定)
- Enforcement Policyの設定(どの条件の時にどのEnforcement Profileを適用するかのポリシー設定)
- Serviceの設定
ClearPassの基本的な設定や、認証ソースにADを登録する方法などはこちらにある資料をご参照下さい。
ClearPassに関係するコントローラ側の設定はこちらです。
aaa authentication-server radius "your-clearpass"
host "10.x.x.x"
key xxxxxxxx
aaa server-group "your-server-group"
auth-server your-clearpass
aaa profile "your-aaa-profile"
authentication-dot1x "default"
dot1x-server-group "your-server-group"
それでは、手順通りClearPassを設定してみましょう。
ClearPassの設定場所はこちらです。
![Screen Shot 2018-12-07 at 17.03.20.png Screen Shot 2018-12-07 at 17.03.20.png](https://higherlogicdownload.s3.amazonaws.com/HPE/MigratedInlineFiles/cd4248d7f69a4a749645a33d9bb5b129_6183f2bd59dc44919e74658ffa73d4ce)
1. Enforcement Profileの設定
「Aruba RADIUS エンフォースメント」を使うだけなのでとても簡単です。
![Screen Shot 2018-12-07 at 17.10.02.png Screen Shot 2018-12-07 at 17.10.02.png](https://higherlogicdownload.s3.amazonaws.com/HPE/MigratedInlineFiles/cd4248d7f69a4a749645a33d9bb5b129_62cb1f6de7024c0bbaf9988fd1b921cc)
属性のAruba-User-Roleの設定値でコントローラに返すRole名を設定します。
ここのRole名はコントローラのuser-roleの設定値と同じにする必要があるので注意して下さい。
![Screen Shot 2018-12-07 at 17.12.00.png Screen Shot 2018-12-07 at 17.12.00.png](https://higherlogicdownload.s3.amazonaws.com/HPE/MigratedInlineFiles/cd4248d7f69a4a749645a33d9bb5b129_54d96fa959ca4d4685c665188392aa0f)
2. Enforcement Policyの設定
Enforcement Policyを新しく追加します。
名前、デフォルト・プロファイルを設定します。デフォルト・プロファイルは、この後設定する条件に合わなかった時に適用されるので、Allow Accessなどでいいと思います。
![Screen Shot 2018-12-08 at 17.18.22.png Screen Shot 2018-12-08 at 17.18.22.png](https://higherlogicdownload.s3.amazonaws.com/HPE/MigratedInlineFiles/cd4248d7f69a4a749645a33d9bb5b129_ec928c6543e34afdb38dca7bf873164e)
次に、ルールの設定で、認証時の入力条件と、その時に適用するEnforcement Profile を選択します。
以下の例では、認可情報として、ADのmemberOf情報を参照しています。
![Screen Shot 2018-12-08 at 17.23.10.png Screen Shot 2018-12-08 at 17.23.10.png](https://higherlogicdownload.s3.amazonaws.com/HPE/MigratedInlineFiles/cd4248d7f69a4a749645a33d9bb5b129_8ae0f9680eac49e2a0e2a431a68f1e0b)
ルールの設定は、以下の様に必要な分だけ追加する様にしましょう。
![Screen Shot 2018-12-08 at 17.26.27.png Screen Shot 2018-12-08 at 17.26.27.png](https://higherlogicdownload.s3.amazonaws.com/HPE/MigratedInlineFiles/cd4248d7f69a4a749645a33d9bb5b129_b1d040b78afb4a9c836d6c7198889782)
3. Serviceの設定
最後にServiceの設定です。
ClearPassは様々な認証設定をすることができますが、それらは全て、このServiceで設定します。(「設定」> 「サービス」)
新しいServiceを追加し、タイプに「Aruba 802.1X Wireless」を選択します。
そうすると、Aruba 802.1X Wirelessに応じた条件が設定されます。
![Screen Shot 2018-12-08 at 17.31.15.png Screen Shot 2018-12-08 at 17.31.15.png](https://higherlogicdownload.s3.amazonaws.com/HPE/MigratedInlineFiles/cd4248d7f69a4a749645a33d9bb5b129_fe0272227f3c48bb8ecf26d77151cd8d)
複数のServiceを設定する場合は、この条件を変更します。
例えば、Aruba-Essid-NameがEXISTSとなっていますが、EQUAL でESSID名を指定したり、NAS-Identifierを指定すれば、特定のESSIDやControllerからの認証要求にしか合致しないService設定を作成することができます。
次に、「認証」タブで、認証方式と認証ソースを指定します。
認証ソースは予め設定する必要があります。
![Screen Shot 2018-12-08 at 17.35.58.png Screen Shot 2018-12-08 at 17.35.58.png](https://higherlogicdownload.s3.amazonaws.com/HPE/MigratedInlineFiles/cd4248d7f69a4a749645a33d9bb5b129_be5c7b5c08a94e6a9362fc091f0e42f0)
最後に、「エンフォースメント」タブで、#2で作成したEnforcement Policyを選択し、設定は全て完了です。
![Screen Shot 2018-12-08 at 17.37.19.png Screen Shot 2018-12-08 at 17.37.19.png](https://higherlogicdownload.s3.amazonaws.com/HPE/MigratedInlineFiles/cd4248d7f69a4a749645a33d9bb5b129_239777bb8336419bae614a5680dd4bf9)
【補足】
以下はあくまで補足なので、興味のない方は無視して下さい。知ってると便利なこともあるので、頭の片隅に置いといていただいて、必要になった時に思い出して使ってみて下さい。
Serviceの設定で「ロール」タブを設定しなかったので、疑問に思われた方もいるかもしれません。この「ロール」はロール・マッピングを使う場合に使用します。
ここの「ロール」は、ClearPassの中だけで管理上使われるものです。ControllerやSwitchに適用するRoleと直接的には関係ありません。
ただ、適用するRoleが多く、設定が複雑になってきた時や、ClearPass Guestの設定をする時に使います。
例えば、上記で設定したADのmemberOfを参照するやり方を、ロール・マッピングを使って設定することもできます。
ロール・マッピングの設定は以下の様になります。#2のEnforcement Policyとほとんど同じです。
ただし、ここのロールの[SE]や[SALES]は、ClearPassの「設定」> 「ID」> 「ロール」で設定するロールです。あくまでも、ClearPassの中だけで利用するものという点を覚えておいて下さい。
![Screen Shot 2018-12-08 at 17.47.00.png Screen Shot 2018-12-08 at 17.47.00.png](https://higherlogicdownload.s3.amazonaws.com/HPE/MigratedInlineFiles/cd4248d7f69a4a749645a33d9bb5b129_353585459523435c89dbf86cff9d7db6)
その後、「エンフォースメント」タブで、以下の様に設定します。
![Screen Shot 2018-12-08 at 17.55.48.png Screen Shot 2018-12-08 at 17.55.48.png](https://higherlogicdownload.s3.amazonaws.com/HPE/MigratedInlineFiles/cd4248d7f69a4a749645a33d9bb5b129_d1479651f89f4390b2bb7cc55bbee8b4)
今回の例ではロール・マッピングを使う必要性はありませんが、Enforcement Policyの設定が複雑になってきた時や、ClearPass GuestのSelf Registrationでロールを選択する時にはロール・マッピングを使うことになると思います。