Foro en Español

Reply
Highlighted
Occasional Contributor II

Multiples portales cautivos en clearpass

Buen día,

 

acudo a la comunidad con el fin de encontrar una recomendacion de como hacer lo siguiente, de antemano muchas gracias por la colaboracion:

 

Actualmente tenemos 12 controladoras en v8.3 distribuidas geologicamente, todas estan sincronizadas en una Mobility Master v8.3, donde se encuentra la MM esta tambien un servidor de Clearpass v6.8.

queremos implementar un portal cautivo en cada una de las sedes donde estan las controladoras, cada portal con un diseño totalmente diferente.

La consulta va relacionada con el  tema de certificados, sabemos que debemos montar un certicado para cada controladora, sin embargo, cuando hacemos esto, la pagina de autoregistro en el momento de dar clic en login redirecciona a la pagina captiveportal-login.mydomain.com hasta ahí todo bien y nos funciona con una sola controladora, puesto que dicha URL la tenemos resolviendo a la IP de una controladora, el problema radica cuando queremos hacer lo mismo para otra controladora, el DNS no nos deja, puesto que no se puede resolver 2 direcciones IP a la misma URL (captiveportal-login). 

Hay una mejor forma de poder hacerto? o se puede cambiar en la controladora esa url de captiveportal-login por ejemplo a captiveportal-login2-3-4 etc...?

 

Espero me halla podido explicar bien.

 

Su ayuda será apreciada.

 


Accepted Solutions
Highlighted
Aruba Employee

Re: Multiples portales cautivos en clearpass

Buenas; La redireccion es correcta, queda entender si ese certificado es publico, y si tiene la cadena de confianza para que los exploradores confien en el, tambien si se pueda dar el caso de que el explorador intente hacer un check del OCSP del certificado, para lo cual debas abrir en el rol de preauth algun destino hacia la entidad certificante. En paralelo, si lo unico que no funciona bien es este error de ssl, puedes probar autenticar mediante http, para verificar que el resto del flujo se de tal como lo has pensado, para eso podes cambiar en la pagina del clearpass el metodo de envio de las credenciales, en el campo de secure login, cambiarlo a http. Entonces el explorador enviara las credenciales en modo no seguro y no debieras ver el error de certificado, si puedes prueba estas cosas y avisas

Saludos

View solution in original post


All Replies
Highlighted
Aruba Employee

Re: Multiples portales cautivos en clearpass

Buenas, entiendo lo que comentas, mira, el SAN del certificado no debiera apuntar a ningun registro DNS, ese captive-portal-login, o similar, es generico, un certificado es suficiente para una o multiples controladoras, el mismo debe estar cargado en cada una de ellas y usado como captive portal. luego lo que ocurre es que la propia controladora intercepta el trafico de usuario, y podra usar el certificado incluido, sin necesidad de que haya una clara referencia en el cert a una u otra, la intercepcion es local, por que ese usuario esta conectado a esa controladora y no al resto en ese momento, con lo que  el resumen es, mismo certificado publico en todas las controllers, no registro de DNS para ese nombre, y luego si usas clearpass para los portales, el nombre del certificado, ese unico nombre, ser parte del vendor settings del portal, ya que el usuario entonces lo usara para enviar las credenciales, y la controladora, podra hacer la intercepción.

espero haber ayudado con esto

Saludos

Highlighted
Occasional Contributor II

Re: Multiples portales cautivos en clearpass

gracias por la pronta respuesta,

 

Estoy de acuerdo contigo, sin embargo, cuando intentamos hacerlo sin la url captiveportal-login y ponemos simplemente la ip del controlador (ver imagen imagen adjunta) al momento de darle clic en login en la pagina de registro, el dispositivo nos saca una advertencia de certificado (ver imagen adjunta), esa advertencia la queremos evitar puesto que los usuario finales tienden a confundirsen.

 

Cordialmente,

Highlighted
Aruba Employee

Re: Multiples portales cautivos en clearpass

Es correcto, es que debes redirigir a la url del certificado, lo que no debes hacer es apuntar un registro de dns para ello, la intercepción se da de manera natural ya que tu usuario esta conectado a esa controladora, no hay que resolver DNS, pero SI debes usar en el portal el nombre exacto del certificado que esta cargado en todas las controladoras

La IP address que adjuntas de clearpass debe completarse con el nombre exacto del certificado, unico, que has cargado por igual en todas las controladoras

A disposición

 

Highlighted
Occasional Contributor II

Re: Multiples portales cautivos en clearpass

Buen día Jorge,

 

Hemos cambiado en el clearpass la IP por el nombre completo captiveportal-login.mydomain.com,(ver imagen adjunta) tambien hemos borrado el registro DNS que teniamos apuntando a la IP de la controladora, sin embargo, al momento de probar, nos esta mostranado el error de certficado que dice que no es una pagina segura.(ver imagen adjunta)

 

agrezco sus ayudas.

cordialmente.

Highlighted
Aruba Employee

Re: Multiples portales cautivos en clearpass

Buenas; La redireccion es correcta, queda entender si ese certificado es publico, y si tiene la cadena de confianza para que los exploradores confien en el, tambien si se pueda dar el caso de que el explorador intente hacer un check del OCSP del certificado, para lo cual debas abrir en el rol de preauth algun destino hacia la entidad certificante. En paralelo, si lo unico que no funciona bien es este error de ssl, puedes probar autenticar mediante http, para verificar que el resto del flujo se de tal como lo has pensado, para eso podes cambiar en la pagina del clearpass el metodo de envio de las credenciales, en el campo de secure login, cambiarlo a http. Entonces el explorador enviara las credenciales en modo no seguro y no debieras ver el error de certificado, si puedes prueba estas cosas y avisas

Saludos

View solution in original post

Highlighted
Occasional Contributor II

Re: Multiples portales cautivos en clearpass

Buen día Jorge,

 

Hemos hecho lo que solicitas de quitar HTTPS de security login, y funciona correctamente en HTTP, podriamos decir que es una solución, sin embargo nos gustaría saber si el otro metodo tambien funciona, puedes por favor indicarme como verificar si el certificado tiene cadena de confianza, para lo del OCSP hemos ingresado varias URL de la entidad que emitió el certificado (Digicert) pero no hace ninguna diferencia.

 

Muchas gracias, ya vamos viendo la luz. :)

 

Cordialmente.

Search Airheads
cancel
Showing results for 
Search instead for 
Did you mean: