Forum Français

 View Only
last person joined: 4 days ago 

Bienvenue sur le forum communautaire français d'Airheads.
Expand all | Collapse all

Clearpass Wi-fi guest self-registration with sponsored approval

This thread has been viewed 47 times
  • 1.  Clearpass Wi-fi guest self-registration with sponsored approval

    Posted Feb 16, 2024 10:10 AM

    Bonsoir à tous,

    Je suis un nouveau dans l'environnement Clearpass. J'ai configuré un portail captif pour les invités avec l'auto-enregistrement, cependant, j'ai des besoins spécifiques:

    1. J'aurais besoin d'un portail captif pour s'auto-enregistrer (mail du sponsor, nom de l'invité, tél de l'invité, mail de l'invité, et acceptation des conditions d'utilisation)
    2. Je veux que l'invité soit accepté par son hôte (pas par un admin réseau etc) en recevant un mail ou il doit confirmer.
    3. Je veux que la durée de connexion d'un invité = 10 heures (dès l'acceptation de l'hôte)
    4. Je ne sais pas exactement comment fonctionne le serveur SMTP, mais pour mes besoins que j'ai cité en haut, j'ai une interrogation ;
      1. Comment en être sur que l'invité ne confirme pas lui-même sa demande en renseignant par exemple un second mail à lui et il pourra confirmer avec ? Les approvals (ceux qui vont accepter les demandes doivent être renseignés à l'avance ? 
      2. sachant que cette entreprise n'a pas qu'un seul nom de domaine (interne et externe) comment parametrer le serveur SMTP de sorte que l'hôte va recevoir la demande et que lui qui pourrait accepter dans ce cas ? 

    J'ai vraiement cherché partout et je n'ai pas trouvé de réponses ç cela.

    Je vous remercie par avance

    Cordialement



    ------------------------------
    Ali
    Cybersecurity Consultant
    ------------------------------


  • 2.  RE: Clearpass Wi-fi guest self-registration with sponsored approval

    Posted Feb 17, 2024 05:00 AM

    Re Bonjour à tous,

    Je reviens vers vous après avoir réussi à résoudre quelques points, néanmoins il m'en reste d'autres.

    1. a.
    2. b.

    J'ai testé le portail captif des invités et il fonctionne très bien en demandant une confirmation du parrain en renseignant son mail, mais le souci est qu'en paramétrant le serveur SMTP, n'importe quel mail peut confirmer la demande de l'invité : Je m'explique

       l'invité peut renseigner par exemple son deuxième mail comme parrain et il pourra dans ce cas approuver sa demande (ce n'est pas très secure tout cela)

       J'ai vu que y'a moyen de définir à l'avance une liste d'approbateurs, mais si c'est une grande entreprise, faut-il saisir tous les mails d'approbateurs manuellement ? 

     En plus de tout cela (qui rend les choses plus complexes) les salariés de cette entreprise n'ont pas un seul nom de domaine (internes + externes), comment mettre une policy de sorte seul les salariés peuvent accepter ces demandes.

    En vous remerciant par avance 



    ------------------------------
    Ali
    Cybersecurity Consultant
    ------------------------------



  • 3.  RE: Clearpass Wi-fi guest self-registration with sponsored approval

    MVP GURU
    Posted Feb 19, 2024 06:32 AM

    Bonjour Ali,

    Il faut modifier le sponsor_email dans la partie Guest pour valider uniquement certain domaine !

    https://community.arubanetworks.com/discussion/cp-guest-email-sponsor-restrict-the-email-domain

    tu peux aller jusqu'a un lookup sur un LDAP si tu veux verifier précisement les adresses emails



    ------------------------------
    PowerArubaSW : Powershell Module to use Aruba Switch API for Vlan, VlanPorts, LACP, LLDP...

    PowerArubaCP: Powershell Module to use ClearPass API (create NAD, Guest...)

    PowerArubaCL: Powershell Module to use Aruba Central

    PowerArubaCX: Powershell Module to use ArubaCX API (get interface/vlan/ports info)..

    ACEP / ACMX #107 / ACDX #1281
    ------------------------------



  • 4.  RE: Clearpass Wi-fi guest self-registration with sponsored approval

    Posted Feb 22, 2024 03:41 AM

    Bonjour,

    Je te remercie pour ton ton retour., cependant cette procédure ne remplit pas forcément mon besoin, je m'explique avec un exemple simple:

    Mon entreprise à un nom de domaine en @test.fr (pour tous les internes), et un deuxième nom de domaine en @microsoft.com (pour les prestations en longue durée) par exemple. (il se peut aussi qu'il y aura d'autres.

    Si un presta Microsoft au sein de mon entreprise invite une personne de microsoft qui n'a pas de lien avec mon entreprise pour une réunion, c'est là ou le problème va se poser. Deux personnes qui ont le même nom de domaine @microsoft.com (un en tant que parrain et l'autre comme invité) et le parrain ne pourrait pas confirmer son invité si je filtre sur le nom de domaine.

    Merci 



    ------------------------------
    Ali
    Cybersecurity Consultant
    ------------------------------



  • 5.  RE: Clearpass Wi-fi guest self-registration with sponsored approval

    MVP GURU
    Posted Feb 22, 2024 05:23 AM

    Bonjour Ali,

    Bonjour Ali,

    Pas le choix, alors, il faut que tu trust un par un les emails des personnes @microsoft.Com qui ont le droit de parrainer... 



    ------------------------------
    PowerArubaSW : Powershell Module to use Aruba Switch API for Vlan, VlanPorts, LACP, LLDP...

    PowerArubaCP: Powershell Module to use ClearPass API (create NAD, Guest...)

    PowerArubaCL: Powershell Module to use Aruba Central

    PowerArubaCX: Powershell Module to use ArubaCX API (get interface/vlan/ports info)..

    ACEP / ACMX #107 / ACDX #1281
    ------------------------------



  • 6.  RE: Clearpass Wi-fi guest self-registration with sponsored approval

    Posted Feb 22, 2024 05:28 AM

    Je pense avoir la réponse...

    A priori je n'ai pas besoin de trusté un par un un.

    Quane le parrain confirme avec le lien qui a été envoyé dans le mail, il est redirigé vers une page avec l'adresse ip du clearpass suivi d'un champ. (le lien de confirmation est le même ip que le clearpass) 

    Donc pour confirmer quelqu'un, il faut être connecté au Wi-Fi au préalable (pas obligatoirement même SSID). Ainsi pour confirmer son invité le parrain doit être connecté au Wi-Fi (ce qui nous amène à dire que le parrain est identifié comme quelqu'un de sur). 



    ------------------------------
    Ali
    Cybersecurity Consultant
    ------------------------------



  • 7.  RE: Clearpass Wi-fi guest self-registration with sponsored approval

    Posted Feb 22, 2024 12:00 PM

    Bonjour,

    Tu peux mettre plusieurs noms de domaines pour les parrains, par exemple pour le champ sponsor :

    array (

      'allow' =>

      array (

        0 => 'test.fr',

        1 => 'microsoft.com',

      ),

      'deny' =>

      array (

        0 => '*',

      ),

    )




  • 8.  RE: Clearpass Wi-fi guest self-registration with sponsored approval

    Posted Feb 22, 2024 12:34 PM

    Bonjour,

    Oui, c'est ce que je me suis dit mais vu que la page de confirmation ne s'ouvre qu'en étant déjà connecté au même Wi-Fi au préalable (pas forcément même SSID), donc le parrain dans ce cas remplit bien mon besoin (il faut qu'il soit quelqu'un d'interne qu'il accepte)

    Merci tout de même



    ------------------------------
    Ali
    Cybersecurity Consultant
    ------------------------------