ArubaのControllerだけでも、コンピュータ認証とユーザ認証で別のRoleを適用する機能を持っていますが、ClearPassがあれば、もっと簡単に設定することができます。
コンピュータ認証は英語ではMachine Authenticationと言うので、設定の都合もあり、以後Machine Authenticationと記述しています。
ClearPassの一般的な認証設定やAD連携の設定はこちらをご覧下さい。
ControllerとClearPassの設定まとめ
日本語テクニカルリソース
まずは、上記を参考に、ClearPassでADを認証ソースとした802.1x認証のサービスを設定します。
ClearPassは、認証した端末がコンピュータ認証を行ったのか、ユーザ認証しか行っていないのかを記憶しています。
例えば、認証済みユーザのアクセストラッカーログを見ると、
使用ポリシーの「ロール」に[User Authenticated] というのが入っています。

これは、ユーザ認証のみが行われたことを意味します。
つまり、
ユーザ認証だけの場合:ロール=[User Authenticated]
コンピュータ認証だけの場合:ロール=[Machine Authenticated]
コンピュータ認証+ユーザ認証の場合:[User Authentiacted], [Machine Authenticated]
と表示されます。
なので、エンフォースメント・ポリシーの設定で、このロール情報を元に、ControllerやSwitchに適用するRoleを変えてあげる設定をすればいいだけです。
注)カタカナのロールはClearPassの内部で保持してるだけのロール、英語のRoleはRadius AttributeでControllerやSwitchに適用するRoleのことを言っています。両方”ろーる”と言ってるのでややこしいですね、、、
エンフォースメントポリシーの設定例はこんな感じです。

上記の設定例では、以下のようにプロファイルが適用されます。
- コンピュータ認証のみのユーザ:AOSS_MACHINE_AUTH_ROLEを適用
- コンピュータ認証+ユーザ認証のユーザ:AOSS_USER_AUTH_ROLEを適用
- ユーザ認証のみのユーザ:デフォルトプロファイルのAOSS_ROLE_LOCALを適用
アクセストラッカーのログはこのように見えます。
<コンピュータ認証だけ完了した時>

<コンピュータ+ユーザ認証が完了した時>

では、ClearPassが認証状態を記憶しているのは、デフォルトで24時間で、設定変更も可能です。
設定場所は、
管理 > サーバー・マネージャー > サーバー設定 > サービス・パラメーター
で、サービスの選択で「Policy server」を選択し、
一番上の「Machine Authentication Cache Timeout」で変更することが可能です。

検証環境などで、このキャッシュ情報をクリアしたい場合は、
管理 > サーバー・マネージャー > サーバー設定 の右上にある、
「Clear Machine Authentication Cache」でクリアできます。
