Aruba ClearPass: integrace s Active Directory

Podívejte se jak jednoduché je napojit ClearPass na Microsoft Active Directory a nastavit bezdrátovou síť

Integrace s Active Directory

Aruba ClearPass je možné velmi jednoduše integrovat s bází uživatelů v Active Directory a to redundantním způsobem. Podporováno je vícero domén, takže jeden ClearPass může sloužit například pro vás i vaše dceřiné společnosti. Síla ClearPass spočívá v tom, že není nutné provádět dopředu nějakou synchronizaci. V okamžiku autentizace si ClearPass sáhne do Active Directory nejen pro ověření loginu uživatele, ale i pro získání dalších atributů jako je členství ve skupině, telefonní číslo, plné jméno či cokoli dalšího, co v AD máte a chcete si natáhnout. Tyto atributy pak, jak uvidíme v dalších dílech seriálu, můžete využít pro přiřazování různých politik. Stažené atributy se navíc po nějakou (nastavitelnou) dobu dočasně uloží, čímž se snižuje zátěž AD.

PEAP-MSCHAPv2

Active Directory je komunikace je postavena na klasickém LDAP. Pokud použijete metody přihlašování jako je PAP, TTLS-PAP, TTLS-GTC (tedy ty založené na běžném hesle případně šifrovaně sdělené tunelem) nebo EAP-TLS (čili ověřování klientským certifikátem) tak nevyžadují žádné další akce. Jiné je to u MSCHAP, kdy se při komunikaci využívá challenge ve stylu NTLM. Z kryptografických důvodů tak není možné použít běžné LDAP metody, protože výzva a odpověď musí proběhnou mezi klientem a credential repository (tedy AD). Autentizační servery (RADIUS) pro podporu PEAP-MSCHAPv2 musí použít jiný způsob. Místo přímého dotazu musí simulovat připojení uživatele z virtuálního doménového počítače. Naštěstí se v případě Aruba ClearPass o tohle nemusíte příliš starat – stačí totiž umožnit systému se začlenit do domény. Jednoduše kliknete na Join AD domain a přihlásíte se – žádné další manuální operace nejsou potřeba. Takto můžete obsluhovat až 16 AD domén s PEAP-MSCHAPv2.

Je to složité?

Posuďte sami – shlédněte toto české video:

Příště si ukážeme, jak je možné využít informací z AD k přiřazování různých síťových politik různým uživatelům. Pod síťovou politikou si nepředstavujte jen VLAN, ale aplikační řízení (aplikace povolena, nepovolena, s omezenou propustností), webovou kategorizaci, reputační službu, omezení propustnosti apod. Ale o tom až příště, čtěte další díly na netsvtet.cz
Similar posts
  • HPE Networking na GitHub – skri... Zaměstnanci HPE publikovali zajímavé skripty a celé knihovny jako open source v licenci Apache2, tedy k volnému použití včetně jakýchkoli modifikací. https://github.com/HPENetworking/scriptsonly Obsah se bude jistě dost rozšiřovat… přidejte si záložku [...]
  • Návod na Aruba ClearPass v češtině Čtěte online na stránkách netSvět: http://www.netsvet.cz/clearpasslab [...]
  • ArubaOS-Switch (dříve ProVision OS) a... ArubaOS-Switch 16.01 a podpora captive portálu ClearPass Guest. ProVision OS generace 15 podporoval lokální webový portál, lokálně ověřovaný webový portál s obsahem na externím serveru a proprietární HTTP redirect kompatibilní s Comware platformou a iMC UAM portálem. Nová generace software s označením ArubaOS 16.01 přináší nově podporu pro Guest ověřování s ClearPass Guest. Které prvky [...]
  • ClearPass Guest: Vyplňte a vstupte pr... Už jsme si ukázali, jak pouštět hosty do vaší sítě bezpečně a pohodlně s licenčním ujednání nebo SMSkou. Další možnost je nechat uživatele vyplnit údaje o sobě. Řekni mi co čteš a já … Co čtete raději? netsvet.cz nebo cloudsvet.cz? Nebo oboje stejně? Stačí jen odpovědět a pustím vás do sítě. Takhle nějak můžete nastavit [...]
  • Píp-píp, tady je váš login do sítě Podívejte se jak Aruba ClearPass umožňuje přistupovat pouze těm hostům, kteří uvedou platné telefonní číslo. Rádi ti dáme připojení, ale dej nám telefonní číslo Řada zákazníků řeší problém jak připojit hosty do sítě a to tak, aby to bylo elegantní (ať to není ostuda), pro hosty velmi jednoduché (bez diktování dlouhých hesel nebo klíčů) a [...]

No Comments Yet

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *