Foro en Español

Reply
Occasional Contributor II

problema de autenticacion mac y servicios Clearpass COA

Hola,

 

Gracias por adelantado a todos.

Indicaros que soy un poco nuevo en esto y tengo un pequeño problema...

 

Los usuarios disponen de varios perfiles/servicios, uno de invitados( portal cautivo con autenticacion ldap , uno corporativo 802.1x con autenticacion ldap y otro reuniones con portal cautivo.

 

El problema consiste en que los usuarios cuando están en uno estos servicios o perfiles conectado y se desconecta con su dispositivo no le vuelve a dejar conectar a otro servicios o perfil??

Desconozco el motivo por el que no se recibe el coa o termino de sesión cuando un usuario para de un servicio a otro con el mismo dispositivo.

 

Podríais ayudarme.. Se que es un tema de cacheo de la mac pero no se donde "regularlo".

Saludos 

MVP Expert

Re: problema de autenticacion mac y servicios Clearpass COA

Necesitaremos que nos aportes más información sobre las políticas en ClearPass y pantallazos del Access Tracker para ver porque se les deniega el acceso.


Rafael del Cerro Flores
ACMP, ACCP, ACDX#324, ACCX#711
Occasional Contributor II

Re: problema de autenticacion mac y servicios Clearpass COA

Rafael,

 

Inicialmente es que no envia el coa.. He puesto  la opción Aruba termination en el enforce y parece que va.

¿Es necesario poner esto? el wizard no lo incluye para cambio de un SSID o servicio a otro??

Occasional Contributor II

Re: problema de autenticacion mac y servicios Clearpass COA

adjunto imagen

MVP Expert

Re: problema de autenticacion mac y servicios Clearpass COA

Si el usuario se desconecta manualmente no es necesario mandar el CoA, solo se manda en el caso de que el flujo de autenticación lo aplique ClearPass.

Cuando el usuario se conecta de nuevo en otro SSID, deberá llegar a ClearPass y entrar en otro servicio específico (guest, corporativo, ¿reuniones?). 

Puedes verificar primero en el controlador/ap a qué SSID está conectado y como llega la autenticación al ClearPass y asegurarte que ha entrado en el servicio correspondiente.


Rafael del Cerro Flores
ACMP, ACCP, ACDX#324, ACCX#711
Occasional Contributor II

Re: problema de autenticacion mac y servicios Clearpass COA

Pues el usuario se desconecta manual pero sigue estando el perfil activo en el controlador y es necesario borrarlo manualmente.

 

El perfil que aparece es el de guest  o similar y en el caso de autenticación segura EAP pasa lo mismo.

 

He comprobado que están los parametros de COA en el controlador y en el Clearpass .

 

Puede ser algún parametro de post authentication o similar??

 

 

Occasional Contributor II

Re: problema de autenticacion mac y servicios Clearpass COA

En cuanto a como llega la authenticación se ve en la controladora si esta conectado a un ssid los pasos del rol inicial y luego el que aplique(portalcautivo, eap...), cuando el usuario cambia de servicio/SSID lo que ocurre es que el clearpass le lanza un REJECT por que ya existe( cacheo de mac??) y no parece cerrar la sesión  la controladora hasta que no expira.

si te vas a la lista de usuarios de portal ( se asignan con sponsor) sigues viendo al usuario y al poco aparece desactivado.

 

 

MVP Expert

Re: problema de autenticacion mac y servicios Clearpass COA

Juan Ramón, todo parece problemas de configuración de tu red. Te respondo por partes a algunas cosas que indicas.

  • Si los usuarios se desconectan manualmente, el tema del envío de Change of Authorization desde ClearPass no tiene ninguna afectación en este flujo de trabajo. Si el usuario se desconecta y se conecta a otro SSID, la configuración más habitual debería mandarle a otro Servicio dentro de ClearPass.
  • Si el usuario se desconecta voluntariamente del SSID y no se conecta a otro, puede permanecer unos segundos en la tabla de users del IAP/Controlador. Se se conecta a otro SSID, le asociará a la otra red sin problemas.
  • Sería bueno revisar qué ROL le estás asignando en cada caso en el momento inicial. En cada SSID el usuario debería tener uno diferente en función de tu entorno. Este default role lo puedes enviar desde el ClearPass si tienes por ejemplo MAC-Caching o asignarlo en el propio perfil del IAP/Controlador.

Te recomiendo, como otras veces, que revises bien la configuración. Como te decía además en el primer post, si no aportas más pantallazos o información es dificil ayudarte con el troubleshooting.


Rafael del Cerro Flores
ACMP, ACCP, ACDX#324, ACCX#711
Search Airheads
cancel
Showing results for 
Search instead for 
Did you mean: