Je pense avoir la réponse...
A priori je n'ai pas besoin de trusté un par un un.
Quane le parrain confirme avec le lien qui a été envoyé dans le mail, il est redirigé vers une page avec l'adresse ip du clearpass suivi d'un champ. (le lien de confirmation est le même ip que le clearpass)
Donc pour confirmer quelqu'un, il faut être connecté au Wi-Fi au préalable (pas obligatoirement même SSID). Ainsi pour confirmer son invité le parrain doit être connecté au Wi-Fi (ce qui nous amène à dire que le parrain est identifié comme quelqu'un de sur).
Original Message:
Sent: Feb 22, 2024 03:41 AM
From: ali.amokrane
Subject: Clearpass Wi-fi guest self-registration with sponsored approval
Bonjour,
Je te remercie pour ton ton retour., cependant cette procédure ne remplit pas forcément mon besoin, je m'explique avec un exemple simple:
Mon entreprise à un nom de domaine en @test.fr (pour tous les internes), et un deuxième nom de domaine en @microsoft.com (pour les prestations en longue durée) par exemple. (il se peut aussi qu'il y aura d'autres.
Si un presta Microsoft au sein de mon entreprise invite une personne de microsoft qui n'a pas de lien avec mon entreprise pour une réunion, c'est là ou le problème va se poser. Deux personnes qui ont le même nom de domaine @microsoft.com (un en tant que parrain et l'autre comme invité) et le parrain ne pourrait pas confirmer son invité si je filtre sur le nom de domaine.
Merci
------------------------------
Ali
Cybersecurity Consultant
Original Message:
Sent: Feb 19, 2024 06:32 AM
From: alagoutte
Subject: Clearpass Wi-fi guest self-registration with sponsored approval
Bonjour Ali,
Il faut modifier le sponsor_email dans la partie Guest pour valider uniquement certain domaine !
https://community.arubanetworks.com/discussion/cp-guest-email-sponsor-restrict-the-email-domain
tu peux aller jusqu'a un lookup sur un LDAP si tu veux verifier précisement les adresses emails
------------------------------
PowerArubaSW : Powershell Module to use Aruba Switch API for Vlan, VlanPorts, LACP, LLDP...
PowerArubaCP: Powershell Module to use ClearPass API (create NAD, Guest...)
PowerArubaCL: Powershell Module to use Aruba Central
PowerArubaCX: Powershell Module to use ArubaCX API (get interface/vlan/ports info)..
ACEP / ACMX #107 / ACDX #1281
Original Message:
Sent: Feb 17, 2024 05:00 AM
From: ali.amokrane
Subject: Clearpass Wi-fi guest self-registration with sponsored approval
Re Bonjour à tous,
Je reviens vers vous après avoir réussi à résoudre quelques points, néanmoins il m'en reste d'autres.
- ✅
- ✅
- ✅
- a.❌
- b.❌
J'ai testé le portail captif des invités et il fonctionne très bien en demandant une confirmation du parrain en renseignant son mail, mais le souci est qu'en paramétrant le serveur SMTP, n'importe quel mail peut confirmer la demande de l'invité : Je m'explique
l'invité peut renseigner par exemple son deuxième mail comme parrain et il pourra dans ce cas approuver sa demande (ce n'est pas très secure tout cela)
J'ai vu que y'a moyen de définir à l'avance une liste d'approbateurs, mais si c'est une grande entreprise, faut-il saisir tous les mails d'approbateurs manuellement ?
En plus de tout cela (qui rend les choses plus complexes) les salariés de cette entreprise n'ont pas un seul nom de domaine (internes + externes), comment mettre une policy de sorte seul les salariés peuvent accepter ces demandes.
En vous remerciant par avance
------------------------------
Ali
Cybersecurity Consultant
Original Message:
Sent: Feb 15, 2024 02:35 PM
From: ali.amokrane
Subject: Clearpass Wi-fi guest self-registration with sponsored approval
Bonsoir à tous,
Je suis un nouveau dans l'environnement Clearpass. J'ai configuré un portail captif pour les invités avec l'auto-enregistrement, cependant, j'ai des besoins spécifiques:
- J'aurais besoin d'un portail captif pour s'auto-enregistrer (mail du sponsor, nom de l'invité, tél de l'invité, mail de l'invité, et acceptation des conditions d'utilisation)
- Je veux que l'invité soit accepté par son hôte (pas par un admin réseau etc) en recevant un mail ou il doit confirmer.
- Je veux que la durée de connexion d'un invité = 10 heures (dès l'acceptation de l'hôte)
- Je ne sais pas exactement comment fonctionne le serveur SMTP, mais pour mes besoins que j'ai cité en haut, j'ai une interrogation ;
- Comment en être sur que l'invité ne confirme pas lui-même sa demande en renseignant par exemple un second mail à lui et il pourra confirmer avec ? Les approvals (ceux qui vont accepter les demandes doivent être renseignés à l'avance ?
- sachant que cette entreprise n'a pas qu'un seul nom de domaine (interne et externe) comment parametrer le serveur SMTP de sorte que l'hôte va recevoir la demande et que lui qui pourrait accepter dans ce cas ?
J'ai vraiement cherché partout et je n'ai pas trouvé de réponses ç cela.
Je vous remercie par avance
Cordialement
------------------------------
Ali
Cybersecurity Consultant
------------------------------