Foro en Español

Reply
Contributor II

Asignar a usuario autenticado (en AD) vlans diferentes.

Tengo funcionando mi red inalambrica con mi aruba controller, clearpass y autenticando con Active Directory,  lo que quiero implementar es asignarle a  los usuarios una vlan en particular dependiendo en que area trabaja, es decir, si llega un usuario del área de operaciones se autentique con el usuario de active directory (esto ya esta funcionando sin problema) y se le asigna la vlan 2, si es de administración se le asigne la vlan 3, alguien sabe algun camino para lograr esta configuración.

MVP Expert

Re: Asignar a usuario autenticado (en AD) vlans diferentes.

Tienes que meter una regla de este tipo en la policy (si por ejemplo chequeas el atributo "member"):

Screen Shot 2017-11-03 at 18.37.04.png

Para ello, además tienes que tener el AD que tengas dado de alta como fuente Autoritativa (Authorization) del servicio que estés usando.

Asegurate además que el ClearPass está dentro del dominio del AD.


Rafael del Cerro Flores
ACMP, ACCP, ACDX#324, ACCX#711
Contributor II

Re: Asignar a usuario autenticado (en AD) vlans diferentes.

Ya tengo integrado Active Directory con ClearPass funcionando correctamente, pero me falta la parte de asignar  vlans por roles ya que vamos a diferenciar  las personas de administracion con las de operaciones etc. Pudieras  ayudarme  explicandome un poco mas de como hacer esta configuración.

 

Gracias.

Re: Asignar a usuario autenticado (en AD) vlans diferentes.

Buenas;

 

 Como indica Rafa lo debes realizar dentro del servicio en la parte del Enforcement. Previamente debes crear un profile por cada VLAN que quieras. Una vez le das a añadir en el desplegable tienes un template que te puede facilitar todo.

 

 Una vez tienes creado el profile simplemente es dentro del enforcement generar las condiciones ( policy) y asignarle el profile que necesites, en este caso el de cambio de VLAN.

 

Espero que sea de ayuda.

 

Un saludo.

 

Angel De la Encarnacion.

 

ACMP, ACCP, ACDX #544

Angel De la Encarnacion

ACMP, ACCP, ACDX #544, ACSA
MVP Expert

Re: Asignar a usuario autenticado (en AD) vlans diferentes.

Si estamos hablando de hacer esta asignación de VLAN con una controladora de Aruba, tienes que crear un profile de este tipo por cada VLAN:Screen Shot 2017-11-15 at 11.05.22.png

El profile creado será el que vayas asignando en la policy según haga falta en base a la información del AD o de Roles. 

En este ejemplo te pongo dos opciones:

  • Detectar a qué grupo pertenece un usuario del AD y asignarle el profile de VLAN 10.
  • Según el ROL que tenga asignado el usuario (Finanzas), asignarle el profile de VLAN 10

Screen Shot 2017-11-15 at 11.09.02.png

 

 

 

 


Rafael del Cerro Flores
ACMP, ACCP, ACDX#324, ACCX#711
Occasional Contributor I

Re: Asignar a usuario autenticado (en AD) vlans diferentes.

Tengo un caso parecido a este. Tengo clara la configuración de CPPM, de echo lo tengo configurado, pero necesito saber como se debe configurar en la controladroa el SSID para que trabaje con 802.1x y aplique la VLAN que el CPPM le entrega en estos enfercements. ¿Tenemos en el foro algun caso que trate esto que comento para informarme?

 

Gracias.

Highlighted
MVP Expert

Re: Asignar a usuario autenticado (en AD) vlans diferentes.

Tienes que crear un AAA profile y asignarlo al SSID. En este enlace tienes documentación sobre crear dicho AAA para 802.1x:

https://www.arubanetworks.com/techdocs/ClearPass/Aruba_DeployGd_HTML/Content/Aruba%20Controller%20Configuration/AAA_profile_adding.htm

Además, tienes que asignarle un Server Group donde esté incluido el ClearPass.


Rafael del Cerro Flores
ACMP, ACCP, ACDX#324, ACCX#711
MVP

Re: Asignar a usuario autenticado (en AD) vlans diferentes.

Hola Alex,


1.- Configurar ClearPass como RADIUS server
2.- Crear dot1x profile: aaa authentication dot1x "corp_dot1x"
3- Configurar aaa profile
aaa profile "corporate_aaa"
authentication-dot1x "corp_dot1x" (este viene del paso 2)
dot1x-default-role "logon"
dot1x-server-group "cppm_sg"
multiple-server-accounting
radius-accounting "cppm_sg"
rfc-3576-server "10.10.x.11"
rfc-3576-server "10.10.x.12"
!
4.- Crear SSID wpa2-aes
5.- Crear VAP
6.- Crear roles (tantos como necesites, que coincidan con el atributo role que mandas desde ClearPass). Aquí es donde indicarás las VLAN´s y las políticas que requirea cada uno de ellos.
Regards,
Borja
ACMX #567 //ACCP//CWNA//CWAP
MVP

Re: Asignar a usuario autenticado (en AD) vlans diferentes.

Hola Alex,

 

 

1.- Configurar ClearPass como RADIUS server

2.- Crear dot1x profile: aaa authentication dot1x "corp_dot1x"

3- Configurar aaa profile

                aaa profile "corporate_aaa"

    authentication-dot1x "corp_dot1x" (este viene del paso 2)

    dot1x-default-role "logon"

    dot1x-server-group "cppm_sg"

    multiple-server-accounting

    radius-accounting "cppm_sg"

    rfc-3576-server "10.10.x.11"

    rfc-3576-server "10.10.x.12"

!

4.- Crear SSID wpa2-aes

5.- Crear VAP

6.- Crear roles (tantos como necesites, que coincidan con el atributo role que mandas desde ClearPass). Aquí es donde indicarás las VLAN´s y las políticas que requirea cada uno de ellos.

 

 

 

 

 

 

Regards,
Borja
ACMX #567 //ACCP//CWNA//CWAP
Occasional Contributor I

Re: Asignar a usuario autenticado (en AD) vlans diferentes.

Gracias Rafael.

Search Airheads
cancel
Showing results for 
Search instead for 
Did you mean: