Foro en Español

Reply
Occasional Contributor II

Autenticación de Directorio por Aruba Central

Buen Días

 

Quisiera confirmar si es posible realizar una configuración en la cual los usuarios  de directorio activo se pueden autenticar por medio de un portal cautivo, teniendo una plataforma de Aruba Central sobre los access point Aruba. Adicional si en este caso es necesario contar con la licencia de Servicios de Suscripción de "Invitados" para el manejo del portal cautivo.

 

Agradezco la ayuda en este tema.

 

David C.

 

 

 


Accepted Solutions
Highlighted
Moderator

Re: Autenticación de Directorio por Aruba Central

Para entender mejor este problema (y darle solución) es necesario entender bien cómo funciona una autenticación contra portal web.

 

  1. Cuando un usuario introduce sus credenciales en el portal web (ya se trate de Central, de ClearPass o de cualquier otro), el navegador del cliente no le envía las credenciales al portal web.
  2. Lo que hace el navegador del cliente (instruido por el código javascript/php/similar presente en el portal) es enviar las credenciales a "securelogin.hpe.com" (o similar).
  3. El controlador/AP capturará el tráfico hacia ese FQDN y será quien reciba las credenciales del usuario invitado.
  4. Una vez recibidas esas credenciales, el controlador/AP enviará una autenticación RADIUS (o RADSec en el caso de CloudGuest) hacia el servidor de autenticación definido para este SSID.

Teniendo esto en cuenta, no hay razón para que el AP no pueda lanzar las autenticaciones contra un RADIUS o LDAP (AD no es sino un caso particular de LDAP) en lugar de hacerlas contra la BBDD de invitados de CloudGuest (aunque quizá la interfaz web no nos permita hacerlo, pero esto podríamos resolverlo utilizando configuración por plantillas). Eso sí, si decidimos optar por esa vía (mostrar el portal web de CloudGuest pero validar contra AD) perderemos las opciones de auto-registro que sí nos da CloudGuest.

 

La belleza de utilizar ClearPass para una situación como esta es que, al estar dentro de nuestra red, puede hablar tanto con nuestro AD como con su BBDD interna. Esto le permite dar acceso a invitados que se han registrado a través del portal a la vez que permite a los usuarios internos utilizar sus credenciales de AD.

 

Espero que la explicación sirva de ayuda.

 

Saludos!!

 

 

 

 


Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)

View solution in original post


All Replies
Highlighted
Aruba Employee

Re: Autenticación de Directorio por Aruba Central

Buenas David, Para tomar como fuente de autenticación a un AD debieras interactuar con una plataforma radius, como ser Aruba Clearpass, el cual formará parte del dominio del AD y podrá consultar tanto por autenticación como por autorización de credenciales a dicho AD, no veo posible la interacción desde Central / IAP de forma directa

Saludos!

Highlighted
Occasional Contributor II

Re: Autenticación de Directorio por Aruba Central

Hola Jorge

 

Muchas gracias por tu respuesta, tengo un regunta, en caso de no poder integrar Clearpass:

 

* Es posible realiarlo por medio de portales cautivos externos? Usando este tipo de autenticación

 

* Para no integrar Clearpass y migrar la solución a access point controlados, la controladora puede permitir este tipo de autenticación con portales cautivos?

 

Gracias nuevamente

 

David C.

Highlighted
Moderator

Re: Autenticación de Directorio por Aruba Central

Para entender mejor este problema (y darle solución) es necesario entender bien cómo funciona una autenticación contra portal web.

 

  1. Cuando un usuario introduce sus credenciales en el portal web (ya se trate de Central, de ClearPass o de cualquier otro), el navegador del cliente no le envía las credenciales al portal web.
  2. Lo que hace el navegador del cliente (instruido por el código javascript/php/similar presente en el portal) es enviar las credenciales a "securelogin.hpe.com" (o similar).
  3. El controlador/AP capturará el tráfico hacia ese FQDN y será quien reciba las credenciales del usuario invitado.
  4. Una vez recibidas esas credenciales, el controlador/AP enviará una autenticación RADIUS (o RADSec en el caso de CloudGuest) hacia el servidor de autenticación definido para este SSID.

Teniendo esto en cuenta, no hay razón para que el AP no pueda lanzar las autenticaciones contra un RADIUS o LDAP (AD no es sino un caso particular de LDAP) en lugar de hacerlas contra la BBDD de invitados de CloudGuest (aunque quizá la interfaz web no nos permita hacerlo, pero esto podríamos resolverlo utilizando configuración por plantillas). Eso sí, si decidimos optar por esa vía (mostrar el portal web de CloudGuest pero validar contra AD) perderemos las opciones de auto-registro que sí nos da CloudGuest.

 

La belleza de utilizar ClearPass para una situación como esta es que, al estar dentro de nuestra red, puede hablar tanto con nuestro AD como con su BBDD interna. Esto le permite dar acceso a invitados que se han registrado a través del portal a la vez que permite a los usuarios internos utilizar sus credenciales de AD.

 

Espero que la explicación sirva de ayuda.

 

Saludos!!

 

 

 

 


Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)

View solution in original post

Search Airheads
cancel
Showing results for 
Search instead for 
Did you mean: