Polska Forum

Reply
Highlighted
Aruba Employee

Clearpass - jak CPPM przypisuje role [Machine Authentication]

Szukam odpowiedzi na pytanie, w jaki sposob Clearpass rozpoznaje logowanie maszyny i przypisuje jej rolę [Machine Authentication]?

 

To jest domyslne zachowanie CPPM'a i nie ma polityki mapowania ról który by odpowiadał za takie zachowanie.

 

To co pokazuje tracker:

Policies Used -
Service:
accx_employee_aruba
Authentication Method:
EAP-PEAP,EAP-MSCHAPv2
Authentication Source:
AD:ad.labm.pl
Authorization Source:
SQL MAC, ad.labm.pl
Roles:
Unknown machine, [Machine Authenticated]
Enforcement Profiles:
Update Endpoint Machine authenticated attribiute, [Update Endpoint Known], [Allow Access Profile]
Service Monitor Mode:
Disabled
Online Status:
 Online
Contributor I

Re: Clearpass - jak CPPM przypisuje role [Machine Authentication]

Rola [Machine Authentication] przypisywana jest w dwóch przypadkach: MAC Auth i uwierzytelnie komputera w konfiguracji 802.1x np EAP-PEAP lub EAP-TLS. Jest to domyślna rola określająca że został uwierzytelniony komputer (lub inne urządzenie klienckie), a nie użytkownik.

 

Pozdrawiam

Piotr Filip

------------------------------
AMFX#41/ACMX#536/ACDX#878/ACCX#818/CWNA

Give Kudos: found something helpful, important, or cool? Click Kudos Star in a post.
Problem Solved? Click "Accepted Solution" in a post.
Aruba Employee

Re: Clearpass - jak CPPM przypisuje role [Machine Authentication]

Znalazłem informację, której szukałem, więc podzielę się może będzie to ciekawa informacja dla innych.

 

W clearpassie nie trzeba definiować dodatkowej polityki mapowania roli, żeby CPPM przypisał wewnętrzną rolę [Machine Authentication]. Dzieje sie to automatycznie w momencie gdy CPPM otrzymuje zapytanie gdzie skladnia pola "Username" zgadza się ze składnią wysyłaną przez suplikanta Microsoft jako uwierzytelnienie maszyny, czyli "host/NAZWAHOSTA".

Zawsze w takim przypadku CPPM będzie miał przypisaną rolę wewnętrzną [Machine Authentication]

Occasional Contributor I

Re: Clearpass - jak CPPM przypisuje role [Machine Authentication]

Czy można uzyć mapowania roli na podstawie machine authentication do przydzialania VLAN? Maszyny przypisane do grup w AD i VLAN przydzielany jest na podstawie tego w jakiej grupie znajduje się maszyna. Nie mogę zmusić clearpassa zeby przypisał role na podstawie grupy komputerów w AD.

Contributor I

Re: Clearpass - jak CPPM przypisuje role [Machine Authentication]

Robisz uwierzytelnienie komputera czy użytkownika ? Jak masz skonfigurowanego suplikanta ?

 

Podeślij zrzuty ekranu z Access Trackera - wszystkie zakładki.

 

Pozdrawiam

Piotr Filip

------------------------------
AMFX#41/ACMX#536/ACDX#878/ACCX#818/CWNA

Give Kudos: found something helpful, important, or cool? Click Kudos Star in a post.
Problem Solved? Click "Accepted Solution" in a post.
Aruba Employee

Re: Clearpass - jak CPPM przypisuje role [Machine Authentication]

Można użyć takiego mapowania, trzeba w polityce mapowania roli przypisać warunek, jeżeli jest rola w CPPM [Machine authentication] i dodatkowo zawiera pole (warunek contains) z atrybutu pole w AD "memberOf" wtedy przypisz wymagany enforcement.

 

Kluczowe jest zaznaczenie w ustawieniach AD, żeby odczytywane było pole "memberOf" z AD jako atrybut i użycie warunku "contains", ponieważ pole to zawiera string typu CN=user,CN=kowalski itd. więc ścisłe dopasowanie nie zadziała.

 

Żeby sprawdzić czy odczytywany jest właściwie atrybut z AD, wystarczy sprawdzić w Acces Tracker'e czy wymieniony jest atrybut w parametrach wejściowych, jeżeli nie to trzeba sprawdzić czy w

Configuration->Authentication->Sources->[nazwa AD]->Attribiutes cześć filters czy "memerOf" jest mapowane jako atrybut.

Occasional Contributor I

Re: Clearpass - jak CPPM przypisuje role [Machine Authentication]

Wyglada na to ze w ten sposób działa prawidłowo. Czy w warunkach konieczne jest podawanie roli w CPPM [Machine authentication]? Jaki cel to spełni?

 

W konfiguracji mapowanie użycie EQUALS spełania zadanie przy podaniu pełnej scieżki do grupy. Rozumiem ze powinienem użyć CONTAINS jeśli chciałbym podać tylko nazwę grupy?

image.png

Aruba Employee

Re: Clearpass - jak CPPM przypisuje role [Machine Authentication]

Poniżej przykład jak może wyglądać zawartośc pola "memberOf":

CN=Student,OU=Groups,DC=demo,DC=net

 

Jeżeli dasz waruten equal demo, to taki warunek nie będzie spełniony, jeżeli dasz contains demo, wtedy warunek będzie spełniony. Spójrz u siebie jaką masz zawartośc pola odczytując z:

Monitoring -> Access Tracker -> [kliknij jedną z sesji]-> Request->Autorizatoin attribiute

 

Spójrz na pole:

Authorization:[nazwa AD]:memberOf

Zobaczysz jaką zawartość ma to pole w AD które podłączyłeś.

Aruba Employee

Re: Clearpass - jak CPPM przypisuje role [Machine Authentication]

Rola [Machine authentication] w CPPM oznacza że urządzenie zostało uwierzytelnione poprzez AD jako maszyna i jaki taki status zostaje zapisany CPPM. Używa się takiego parametru najczęściej jeżeli chcemy rozróżnić, czy logowanie jest z urzadzenia które jest zarządzane przez AD, od pozostałych urządzeń których w AD nie mamy. Mogą to być prywatne urządzenia na których użytkownik może wpisać swoje parametry domenowe i prawidłowo się zalogować, a jednak nie będzie to komputer w domenie.

Occasional Contributor I

Re: Clearpass - jak CPPM przypisuje role [Machine Authentication]

Ale w przypadku kiedy mam już pobraną z AD grupę, w której znajduje się PC to chyba już jednoznacznie wiadomo że jest to komputer domenowy i nie potrzebuję sprawdzać warunku [Machine Authentication]?

Search Airheads
cancel
Showing results for 
Search instead for 
Did you mean: