日本語フォーラム

Reply
Highlighted

[ClearPass] コンピュータ認証とユーザ認証

ArubaのControllerだけでも、コンピュータ認証とユーザ認証で別のRoleを適用する機能を持っていますが、ClearPassがあれば、もっと簡単に設定することができます。

 

コンピュータ認証は英語ではMachine Authenticationと言うので、設定の都合もあり、以後Machine Authenticationと記述しています。

 

ClearPassの一般的な認証設定やAD連携の設定はこちらをご覧下さい。

ControllerとClearPassの設定まとめ

日本語テクニカルリソース

 

まずは、上記を参考に、ClearPassでADを認証ソースとした802.1x認証のサービスを設定します。

 

ClearPassは、認証した端末がコンピュータ認証を行ったのか、ユーザ認証しか行っていないのかを記憶しています。

例えば、認証済みユーザのアクセストラッカーログを見ると、

使用ポリシーの「ロール」に[User Authenticated] というのが入っています。

Screen Shot 2018-12-21 at 10.13.21.png

これは、ユーザ認証のみが行われたことを意味します。

つまり、

 

ユーザ認証だけの場合:ロール=[User Authenticated]

コンピュータ認証だけの場合:ロール=[Machine Authenticated] 

コンピュータ認証+ユーザ認証の場合:[User Authentiacted], [Machine Authenticated]

 

と表示されます。

 

なので、エンフォースメント・ポリシーの設定で、このロール情報を元に、ControllerやSwitchに適用するRoleを変えてあげる設定をすればいいだけです。

注)カタカナのロールはClearPassの内部で保持してるだけのロール、英語のRoleはRadius AttributeでControllerやSwitchに適用するRoleのことを言っています。両方”ろーる”と言ってるのでややこしいですね、、、

 

エンフォースメントポリシーの設定例はこんな感じです。

Screen Shot 2018-12-21 at 10.21.00.png

上記の設定例では、以下のようにプロファイルが適用されます。

- コンピュータ認証のみのユーザ:AOSS_MACHINE_AUTH_ROLEを適用

- コンピュータ認証+ユーザ認証のユーザ:AOSS_USER_AUTH_ROLEを適用

- ユーザ認証のみのユーザ:デフォルトプロファイルのAOSS_ROLE_LOCALを適用

 

アクセストラッカーのログはこのように見えます。

<コンピュータ認証だけ完了した時>

Screen Shot 2018-12-21 at 10.23.16.png

<コンピュータ+ユーザ認証が完了した時>

Screen Shot 2018-12-21 at 10.23.28.png

では、ClearPassが認証状態を記憶しているのは、デフォルトで24時間で、設定変更も可能です。

設定場所は、

管理 > サーバー・マネージャー > サーバー設定 > サービス・パラメーター

で、サービスの選択で「Policy server」を選択し、

一番上の「Machine Authentication Cache Timeout」で変更することが可能です。

Screen Shot 2018-12-21 at 10.33.21.png

 

検証環境などで、このキャッシュ情報をクリアしたい場合は、

管理 > サーバー・マネージャー > サーバー設定 の右上にある、

「Clear Machine Authentication Cache」でクリアできます。

Screen Shot 2018-12-21 at 10.37.15.png

 

 

 

Search Airheads
cancel
Showing results for 
Search instead for 
Did you mean: