Foro en Español

Reply
Aruba Employee

[Tutorial] Switch Downloadable User Role (DUR)

Seguimos la serie de tutoriales con otra nueva característica añadida en la versión 16.04 de ArubaOS-Switch.

 

Descripción:

Muchos dispositivos que requieren alimentación a través de Ethernet (PoE) y acceso a la red; dispositivos como cámaras de seguridad, dispositivos médicos, portátiles, etc no tienen software de seguridad integrado. Estos dispositivos pueden suponer un riesgo para las redes con la falta de seguridad en el acceso.

 

Los roles de usuario descargables permiten que el switch de Aruba descargue la política de acceso directamente desde ClearPass para cualquier dispositivo conectado a la red. Esto permite que ClearPass se convierta en el punto central de administración de las políticas de acceso a la red a la vez que se simplifica la configuración en los switches.

 

A continuación veremos cómo hacerlo:

 

Configuración:

Tal como hemos comentado, el switch descargará los roles usando la API de ClearPass. Por tanto, ClearPass tendrá que tener un certificado de servidor para cifrar las comunicaciones HTTPS, y el switch tendrá que confiar en él.

 

La primera parte consistiría, por tanto, en hacer un CSR (Certificate Signing Request) en nuestro Clearpass y firmarlo con nuestra CA.

 

Paso 1: Generar una solicitud de firma de certificado (CSR) en ClearPass. Navega a " Administration àServer Certificate” y elige el tipo de certificado como “HTTPS Server Certificate”. Luego genera un CSR usando la opción de “Create Certificate Signing Request”.

1.jpg

Agrega la información apropiada en la solicitud de firma (nombre común, organización, unidad organizativa, clave privada, etc.).

2.jpg

Pincha “Submit” y descarga el .csr. A partir de la versión 6.7, ya no necesitas descargar la clave privada para posteriormente volverla a subir en el mismo sitio. ClearPass la guarda para cuando cargues el certificado firmado.

 

Paso 2: Firma el fichero .csr de ClearPass en CA. Para este ejemplo he usado como CA un servidor Windows Server 2016, pero se podría usar cualquier otro. Pero en la mayoría de los casos, se recomienda que el certificado HTTPS se emita desde una CA pública.

 

Aquí va un ejemplo de cómo lo he hecho yo con mi CA de Windows:

  • Abre un navegador web dentro del servidor Windows, ve a https://localhost/certsrv/ y luego haz clic en “Request a Certificate”.
  • Copia el CSR generado por ClearPass, especifica el “Certificate Template” como “Web Server”, genera el certificado como “Base 64 encoded” y “Download certificate chain”.
  • El certificado debe abrirse automáticamente en “Certificate Manager” donde deberían aparecer el certificado de servidor de CPPM y el certificado raíz de CA.
  • Selecciona el certificado del servidor y expórtalo como “Base-64 encoded X.509 (.CER)”. Resultará un fichero de tipo .cer

3.jpg

 

Paso 3: Copia el certificado raíz de la CA en la “Trust List” de certificados de ClearPass. Repite los pasos anteriores para exportar el certificado raíz (lo he guardado con el nombre rootcert.cer) y añade el certificado raíz en la “Trust List” de ClearPass (Administration> Trust List > Add).

 

Paso 4: Carga el certificado de servidor HTTPS (una vez firmado) en ClearPass. Ve a Administration> Server Certificate> HTTPS Server Certificate y selecciona “Import Server Certificate” e importa el certificado que tenemos en formato .cer.

4.jpg

5.jpg

Paso 5: Crea un usuario con rol de solo lectura en ClearPass. Se recomienda utilizar un usuario con rol de solo lectura para que el switch se conecte a ClearPass y descargue el rol de usuario. Estas credenciales de usuario se usarán dentro de la configuración del Switch para establecer una conexión segura con ClearPass. Para crear un usuario de solo lectura, ve a Administration> Users and Privileges > Admin Users> Add

6.jpg

Paso 6: Creación del perfil con el rol del usuario descargable en ClearPass. El perfil se creará utilizando la categoría “Aruba Downloadable Role Enforcement”. Yo lo he hecho desde la pestaña “advanced”, ya que me resultaba más sencillo pegar la configuración que previamente había probado en el switch.

 

El prefil de CPPM usado para enviar el rol me ha quedado de la siguiente forma:

7.jpg

8.jpg

El servicio de CPPM:

9.jpg

10.jpg

Vamos a hacer ahora la parte de configuración para el Switch.

 

Paso 1: Copia el certificado raíz en el switch. Crea un “trusted anchor profile” en el switch donde se almacenará el certificado raíz y copia el certificado raíz (rootcert.cer) en el switch:

D1(config)# crypto pki ta-profile DUR2
D1(config)# copy tftp ta-certificate DUR2 172.16.0.101 rootcert.cer
000M Transfer is successful
D1# show crypto pki ta-profile DUR2
  Profile Name    Profile Status                 CRL Configured  OCSP Configured
  --------------- ------------------------------ --------------- ---------------
  DUR2            1 certificate installed         No              No
 
  Trust Anchor:
Version: 3 (0x2)
Serial Number:
   19:a8:66:a8:10:e9:7e:b8:4f:25:29:3c:0e:1f:d2:06
Signature Algorithm: sha256withRSAEncryption
Issuer: DC=CORP, DC=ARUBAPOC, CN=ARUBAPOC-WIN2016
Validity
   Not Before: Feb  9 09:24:01 2018 GMT
   Not After : Feb  9 09:33:58 2023 GMT
Subject: DC=CORP, DC=ARUBAPOC, CN=ARUBAPOC-WIN2016
Subject Public Key Info:
   Public Key Algorithm: rsaEncryption
   RSA Public Key: (2048 bit)
      Modulus (2048 bit):
          30:0d:06:09:2a:86:48:86:f7:0d:01:01:01:05:00:
          03:82:01:0f:00:30:82:01:0a:02:82:01:01:00:9a:
          06:e9:84:48:01:58:81:3c:07:7f:84:79:c9:a0:f0:
          a0:b6:48:69:8e:d3:4b:fa:e8:da:d1:6f:ec:e8:89:
          0d:4f:db:36:7a:d6:e4:f1:c1:90:d9:37:6e:2d:51:
          aa:72:09:b4:b7:3f:bc:19:77:9d:38:c4:dd:4b:03:
          a2:18:a6:c5:2c:f3:3b:a6:db:5f:f6:67:ef:bb:5b:
          1c:37:76:ec:84:fd:61:84:17:c6:51:ad:e2:9d:4f:
          6a:ed:24:21:28:30:5c:d8:dc:19:22:40:68:1e:4e:
          02:b4:a3:23:bc:fe:ca:8d:e4:6f:85:37:61:c0:d3:
          57:8b:5b:f7:2f:f9:8e:1e:23:4d:5d:b4:30:5a:2e:
          af:bf:a4:98:31:e5:d3:ef:6e:f5:08:23:e3:0e:6b:
          c7:6e:a8:16:2c:3c:a1:f4:c2:71:99:6e:a3:b2:6f:
          65:e8:02:a2:a5:e1:41:21:9e:14:af:84:19:da:27:
          26:22:2a:59:57:9d:cf:1e:cb:d5:20:1e:71:65:6c:
          67:ee:d9:c6:dc:ef:d5:07:db:de:72:d5:64:30:8a:
          0c:34:a4:6c:a4:fe:4a:24:fc:36:a2:40:fc:e0:f7:
          cc:c8:5c:a4:66:dd:5a:0e:38:5f:ef:f4:e1:5c:ba:
          9b:04:5b:04:25:f5:ad:26:f2:93:75:69:24:45:89:
          02:03:01:00:01
      Exponent: 65537 (0x10001)
X509v3 extensions:
   X509v3 Key Usage:
      Digital Signature, Certificate Signing, CRL Signing
   X509v3 Basic Constraints: critical
      CA:TRUE
   X509v3 Subject Key Identifier:
      64:75:83:1f:23:e3:37:aa:d1:4f:39:cf:51:63:8e:47:0a:7a:ff:23
   1.3.6.1.4.1.311.21.1
      0000 - 02 01 00                               ...
 
Signature Algorithm: sha256withRSAEncryption
   80:f9:b4:fc:6f:19:d1:a5:62:b2:b8:29:03:5c:06:b3:08:f3:
   a7:88:a0:3a:fa:60:34:da:27:78:28:bc:ff:8c:cd:13:70:50:
   b5:99:10:23:64:37:20:84:64:a2:a6:d2:25:6b:72:b1:11:46:
   b4:ef:d6:11:f6:9d:76:f3:04:21:42:a8:31:04:fd:93:2a:c6:
   9e:14:f7:73:68:07:6a:4d:4e:8a:eb:d4:17:5b:bc:61:6e:9e:
   fe:d6:04:59:cb:b7:b0:8a:c4:e8:e1:ed:9d:42:c2:05:d8:40:
   bb:c5:1c:da:10:97:44:19:84:26:cf:86:b4:bb:40:b3:6c:16:
   19:47:96:26:99:9d:73:ca:bc:fb:56:26:73:4f:03:91:95:81:
   a0:81:1d:a1:70:96:ec:6c:4b:4c:2e:d1:41:be:67:6b:0f:ea:
   80:79:66:33:e7:26:01:e2:c3:46:05:93:f8:c6:74:19:06:05:
   b6:f8:7b:2d:96:5d:65:bc:d5:a0:9a:5a:1b:14:70:94:95:ed:
   75:1a:96:2b:68:27:4d:9c:14:e0:90:cc:7b:ac:2a:88:95:7c:
   a2:4b:5c:ca:eb:42:01:bc:49:76:ed:09:61:dd:31:27:e8:00:
   b0:e4:e2:e0:71:6f:79:9c:0d:79:ff:95:0a:fa:56:14:52:f5:
   c7:2a:c8:96
MD5 Fingerprint: a69e 056e 8c36 76d1 957f ec92 d60a 411c
SHA1 Fingerprint: 6509 4394 af73 029a 4cc4 6295 45c4 7d08 f90c fd29
 
 
  Users associated with this TA profile
  -------------------------------------

Paso 2: Configuración del ArubaOS-Switch para la característica del usuario descargable. Habilita que el switch descargue el usuario de un CPPM. En mi ejemplo he usado autenticación MAC y he habilitado también la parte de autenticación en el puerto.

Como “cppm identity” utiliza las credenciales de usuario de solo lectura creadas anterior en la sección “Crea un usuario con rol de solo lectura en ClearPass”.

 

radius-server host 172.16.0.13 key "aruba123"
radius-server host 172.16.0.13 dyn-authorization
radius-server host 172.16.0.13 time-window 0
radius-server cppm identity "dur-admin"
 
aaa server-group radius "CPPM" host 172.16.0.13
aaa accounting update periodic 5
aaa accounting network start-stop radius server-group "CPPM"
aaa authorization user-role enable download
aaa authentication port-access eap-radius server-group "CPPM"
aaa authentication mac-based chap-radius server-group "CPPM"
 
aaa port-access authenticator 43
aaa port-access authenticator 43 supplicant-timeout 10
aaa port-access authenticator 43 client-limit 10
aaa port-access authenticator active
aaa port-access mac-based 43
aaa port-access mac-based 43 addr-limit 10

Nota: Si el usuario descargable contiene VLAN 50, asegurate que la VLAN 50 existe en la configuración del switch.

  

Resultado esperado:

Una vez conectado el dispositivo a la red (y autenticado contra CPPM), el rol se descarga desde CPPM y se aplica al dispositivo. Las líneas de configuración para el usuario no se guardarán en la configuración del switch. No obstante, para evitar que el switch esté constantemente descargando los mismos roles, mientras haya un usuario con un tipo de rol (en nuestro ejemplo, “DUR_Prof-3001-4”) este quedará en la memoria del switch.

 

Nota: Si quisiéramos forzar un borrado de este rol podríamos hacerlo con el comando:

downloadable-role delete <rol>

 

D1# show port-access clients
Downloaded user roles are preceded by *
 
 Port Access Client Status
 
  Port  Client Name   MAC Address       IP Address      User Role         Type  VLAN
  ----- ------------- ----------------- --------------- ----------------- ----- ----
  43    0004f247e2f0  0004f2-47e2f0     n/a             *DUR_Prof-3001-4  MAC   1
D1# show port-access clients detailed
 
 Port Access Client Status Detail
 
  Client Base Details :
   Port            : 43                    Authentication Type : mac-based
   Client Status   : authenticated         Session Time        : 2063 seconds
   Client Name     : 0004f247e2f0          Session Timeout     : 0 seconds
   MAC Address     : 0004f2-47e2f0
   IP              : n/a
Downloaded user roles are preceded by *
 
 User Role Information
 
   Name                              : *DUR_Prof-3001-4
   Type                              : downloaded
   Reauthentication Period (seconds) : 0
   Untagged VLAN                     : 1
   Tagged VLANs                      :
   Captive Portal Profile            :
   Policy                            : dur-role_DUR_Prof-3001-4
 
Statements for policy "dur-role_DUR_Prof-3001-4"
policy user "dur-role_DUR_Prof-3001-4"
     10 class ipv4 "dur-class_DUR_Prof-3001-4" action rate-limit kbps 1000 action permit
   exit
 
 
Statements for class IPv4 "dur-class_DUR_Prof-3001-4"
class ipv4 "dur-class_DUR_Prof-3001-4"
     10 match ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
   exit
 
   Tunnelednode Server Redirect      : Disabled
   Secondary Role Name               :
D1# show user-role downloaded
Downloaded user roles are preceded by *
 
 Downloaded User Roles
 
  Enabled       : Yes
  Type       Name
  ---------- ------------------------------------------------------
  downloaded *DUR_Prof-3001-4
D1# show user-role downloaded detailed
Downloaded user roles are preceded by *
 
 User Role Information
 
   Name                              : *DUR_Prof-3001-4
   Type                              : downloaded
   Reauthentication Period (seconds) : 0
   Untagged VLAN                     :
   Tagged VLAN                       :
   Captive Portal Profile            :
   Policy                            : dur-role_DUR_Prof-3001-4
 
Statements for policy "dur-role_DUR_Prof-3001-4"
policy user "dur-role_DUR_Prof-3001-4"
     10 class ipv4 "dur-class_DUR_Prof-3001-4" action rate-limit kbps 1000 action permit
   exit
 
 
Statements for class IPv4 "dur-class_DUR_Prof-3001-4"
class ipv4 "dur-class_DUR_Prof-3001-4"
     10 match ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
   exit
 
   Tunnelednode Server Redirect      : Disabled
   Secondary Role Name               :

 El rol descargado se puede ver también en la GUI del switch:

11.jpg

Saludos,

Laura Neacsu

Aruba Employee

Re: [Tutorial] Switch Downloadable User Role (DUR)

Frequent Contributor I

Re: [Tutorial] Switch Downloadable User Role (DUR)

Hola, ¿existe algún tipo de límite en el número de roles descargados? ¿Y en el número de atributos descargados? Gracias


Ricardo Luis Cañavate García - ACMP / ACCA / ACCP / ACDX#972
Moderator

Re: [Tutorial] Switch Downloadable User Role (DUR)

Un switch puede tener 32 roles en al mismo tiempo (entre los que están descargados y los que están configurados).


Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Contributor I

Re: [Tutorial] Switch Downloadable User Role (DUR)

Buenas tardes Samuel espero te encuentres bien, en mi caso tengo un escenario con 5 Switch's 2930M en Stack, tienen el maximo de 32 Roles por Switch ó por todo el Stack completo? No logro pasar unicamente el Vlan ID por ClearPass hacia los Switch sin ponerselo en en "Enforcemet Downloadable" Vlan-id, ya que tengo muchos departamentos y cada Vlan es un departamento (25), mi idea es un Enforcement Downloadable para pasar las ACL's y otro para asociar el departamento el cual extrae del Active Directory, pero no logró pasar la Vlan ID dinamica al Switch sin ponersela en el Enforcement Downloadable. Te agradezco tu tiempo, saludos.

Moderator

Re: [Tutorial] Switch Downloadable User Role (DUR)

Cuando se forma una pila pasamos a tener una única unidad lógica. El límite de roles (diferentes), por tanto, sería de 32 para toda la pila.


Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Search Airheads
cancel
Showing results for 
Search instead for 
Did you mean: