Foro en Español

Reply
Highlighted
Aruba Employee

[Tutorial] Open Authentication Role, Initial Authentication Role y Critical Authentication Role

Seguimos la serie de tutoriales con las características de Open Authentication Role, Initial Authentication Role y Critical Authentication Role, características añadidas en la versión 16.05 de ArubaOS-Switch.

 

A continuación veremos más detalles sobre las características:

 

Open Authentication Role

Descripción:

Antes de ArubaOS versión 16.04, cuando la autenticación estaba habilitada en una interfaz, ArubaOS-Switch no permitía el acceso a la red hasta que la autenticación había terminado. Open Authentication permite que un dispositivo (como un teléfono IP) tenga acceso a la red antes de que finalize el proceso de AAA el dispositivo por el servidor RADIUS.

 

Configuración:

Para Open Authentication, la configuración del servidor RADIUS es necesaria para que el dispositivo compruebe la accesibilidad del servidor RADIUS. Según el tiempo de timeout y el número de retransmisiones configurados para el servidor RADIUS, se determina cuánto tiempo el Open Authentication está activo para los dispositivos que no están autenticados. En el siguiente ejemplo, la característica de Open Authentication estará activa durante 90 segundos ([timeout 15 x retransmisión 5] + 15 segundos por el primer timeout = 90 segundos) mientras las solicitudes de autenticación del dispositivo se procesan.

 

radius-server host 10.5.9.1 key "admin"
radius-server timeout 15
radius-server retransmit 5
 
aaa authorization user-role enable
aaa authorization user-role name "OpenAUTH"
   vlan-id-tagged 3
   exit
aaa port-access mac-based 1/3
aaa port-access mac-based 1/3 addr-limit 10 

per user-role:
aaa port-access 1/3 open-auth user-role "OpenAUTH"
 
Or per VLAN:
aaa authorization user-role disable
aaa port-access <PORT-LIST> open-auth data-vlan <VLAN-ID> 
aaa port-access <PORT-LIST> open-auth voice-vlan <VLAN-ID>

Resultado esperado:

El dispositivo se coloca en el rol de Open Authentication y recibe acceso a la red a través de la VLAN 3, tal como está configurado en el ejemplo. Según la configuración, el dispositivo se mantendrá en el rol de OpenAuth durante 90 segundos mientras intenta autenticarse. Si el dispositivo se autentica antes de los 90 segundos, entonces pasará al rol recibido desde el servidor Radius.  

Casa# show port-access clients detailed
 
  Client Base Details :
   Port            : 1/3                   Authentication Type : mac-based
   Client Status   : open-auth             Session Time        : 18 seconds
   Client Name     :                       Session Timeout     : 0 seconds
   MAC Address     : 3817c3-c3c386
   IP              : n/a

 User Role Information
   Name                              : OpenAUTH
   Type                              : local
   Reauthentication Period (seconds) : 0
   Untagged VLAN                     : 1
   Tagged VLANs                      : 3
 
   Captive Portal Profile            :
   Policy                            :
   Tunnelednode Server Redirect      : Disabled
   Secondary Role Name

=========================

Initial Authentication Role

Descripción:

ArubaOS-Switche 16.05 introduce la función de rol Inicial, función que coloca en el rol Inicial los dispositivos que son rechazados por el servidor RADIUS o que fallan la autenticación debido a la inaccesibilidad del servidor RADIUS. El rol Inicial se puede configurar para proporcionar acceso limitado a los dispositivos que no están autenticados o para los clientes temporales (como invitados) que no requieren autenticación RADIUS. Cualquier rol de usuario se puede configurar como rol Inicial.

Inicial.jpg

Configuración:

Configuraremos el rol de usuario "initial_guest" como el rol de usuario Inicial para los invitados que no están autenticados o que son rechazados por el servidor RADIUS.

radius-server host 10.5.8.17 key "admin"
radius-server host 10.5.8.17 dyn-authorization
radius-server host 10.5.8.17 time-window 0
  
aaa authorization user-role name "initial_guest"
   vlan-id 150
   reauth-period 120
   exit 
aaa authorization user-role enable
aaa authentication port-access eap-radius
 
aaa port-access authenticator 1/3
aaa port-access authenticator 1/3 client-limit 10
aaa port-access authenticator active
aaa port-access mac-based 1/3
aaa port-access mac-based 1/3 addr-limit 10
 
Per port
aaa port-access 1/3 initial-role "initial_guest"
 
Or global
aaa authorization user-role initial-role "initial_guest"

Resultado esperado:

Como se muestra a continuación, el cliente que no está autenticado toma  el rol de usuario "initial-guest", en la VLAN 150. Además, el estado del cliente aparecerá como "initial role" para indicar que el cliente está accediendo la red a través del rol Inicial.

Casa# sh port-access clients detailed
 
 Port Access Client Status Detail
   Client Base Details :
   Port            : 1/3                   Authentication Type : mac-based
   Client Status   : initial role          Session Time        : 112 seconds
   Client Name     : 3817c3c3c386          Session Timeout     : 1800 seconds
   MAC Address     : 3817c3-c3c386
   IP              : 10.127.23.7
Downloaded user roles are preceded by *
 
 User Role Information 
   Name                              : initial_guest
   Type                              : local
   Reauthentication Period (seconds) : 1800
   Untagged VLAN                     : 150
   Tagged VLANs                      :
   Captive Portal Profile            :
   Policy                            :
   Tunnelednode Server Redirect      : Disabled
   Secondary Role Name   

===============================

Critical Authentication Role

Descripción:

La característica de Critical Authentication ofrece al cliente un mecanismo de autenticación alternativo durante el tiempo en el que el servidor RADIUS no está accesible. Cuando el servidor RADIUS se configura como servidor de autenticación, los dispositivos se autentican en relación de las respuestas recibidas desde el servidor RADIUS. La característica de Critical Authentication se activa solo cuando el servidor RADIUS no responde a las solicitudes de autenticación (está marcado como “Dead”) y solo funciona en aquellos puertos donde tengamos configurado critical authentication.

critical.jpg

Configuración:

Cuando el servidor RADIUS no está accesible, el dispositivo obtiene el rol de Critical Authentication en lugar de tener el acceso bloqueado a la red. La característica se puede configurar por puerto para el tráfico de voz o de datos para autenticación de MAC u 802.1X.

 

Hay dos formas de configurar la VLAN de voz o la VLAN de datos de Critical Authentication:

  • Asignar directamente la VLAN (voz o datos).
  • Asignar el rol de usuario que contiene la VLAN crítica como Critical Authentication.
radius-server host 10.5.8.17 key "admin"
radius-server host 10.5.8.17 dyn-authorization
radius-server host 10.5.8.17 time-window 0
 
aaa authorization user-role enable
aaa authentication port-access eap-radius
 
aaa authorization user-role name "critical_role"
   vlan-id-tagged 2
   exit
 
aaa port-access authenticator 1/3
aaa port-access authenticator 1/3 client-limit 10
aaa port-access authenticator active
aaa port-access mac-based 1/3
aaa port-access mac-based 1/3 addr-limit 10
aaa port-access 1/3 critical-auth user-role "critical_role"
 
Or per VLAN:
aaa authorization user-role disable
aaa port-access <PORT-LIST> critical-auth voice-vlan <VLAN-ID>
aaa port-access <PORT-LIST> critical-auth data-vlan <VLAN-ID>

Resultado esperado:

El siguiente resultado muestra el estado del dispositivo cuando se pierde la conexión con el servidor RADIUS. El dispositivo queda autenticado en la red y pasa a tener el rol de "critical_role". Después el dispositivo toma en el rol de critical_role, el estado del dispositivo cambia a "Critical-Auth.

Casa # show port-access clients  detailed
 
 Port Access Client Status Detail
   Client Base Details :
   Port            : 1/3                   Authentication Type : mac-based
   Client Status   : critical-auth         Session Time        : 30 seconds
   Client Name     : 3817c3c3c386          Session Timeout     : 0 seconds
   MAC Address     : 3817c3-c3c386
   IP              : n/a
 
 User Role Information
   Name                              : critical_role
   Type                              : local
   Reauthentication Period (seconds) : 0
   Untagged VLAN                     : 1
   Tagged VLANs                      : 2
   Captive Portal Profile            :
   Policy                            :
   Tunnelednode Server Redirect      : Disabled
   Secondary Role Name                

Conclusiones:                                                                                                           

Vamos a ver cómo funcionan todas las características descritas juntas:

 

  • RADIUS UP y el dispositivo esta autenticado por RADIUS ===> El dispositivo se colocará en el rol enviado por el servidor RADIUS/CPPM.
  • RADIUS UP y el dispositivo no está autenticado o esta rechazado por el servidor RADIUS ===> El dispositivo se colocará en el rol Inicial.
  • RADIUS DOWN y el dispositivo esta no autenticado por RADIUS ===> El dispositivo se colocará en el rol crítico.

o Si la función de Critical Authentication no está configurada, el dispositivo se colocará en el rol Inicial.

o Si la función de Critical Authentication y la función Inicial no están configuradas en el puerto, entonces el dispositivo se colocará, por defecto, en el rol denyall.

 

Nota: Para todos los escenarios anteriores, el dispositivo se colocará en la función de Open Authentication antes de que el dispositivo se autentique o antes de que se rechace y pase al rol de denyall.

 

Search Airheads
cancel
Showing results for 
Search instead for 
Did you mean: