ArubaOS-Switch (dříve ProVision OS) a ClearPass captive portál

ArubaOS-Switch 16.01 a podpora captive portálu ClearPass Guest.

ProVision OS generace 15 podporoval lokální webový portál, lokálně ověřovaný webový portál s obsahem na externím serveru a proprietární HTTP redirect kompatibilní s Comware platformou a iMC UAM portálem.

Nová generace software s označením ArubaOS 16.01 přináší nově podporu pro Guest ověřování s ClearPass Guest. Které prvky tuto podporu dostávají?

  • Aruba 5400R2 s v3 a v2 moduly
  • Aruba 3800
  • Aruba 2920
  • Aruba 2530
  • Původní prvky 2620 a 5400 s v2 moduly

Jak to funguje?

  1. Klient se začně ověřovat do sítě přes 802.1X nebo MAC ověření.
  2. Switch pošle Access-Request požadavek na RADIUS server, kterým je ClearPass Policy Manager.
  3. ClearPass vrátí Access-Accept, který povolí přístup, ale pouze přesměrování na captive portál URL. Součástí paketu jsou autorizační informace, zejména NAS-Filter-Rule, tedy dynamické přiřazení ACL pravidel (někdy také označované jako downloadable ACL). ClearPass tak dynamicky připraví pravidla viz dále.
  4. Switch umístí uživatele do VLAN a aplikuje ACL tak, že jsou povoleny DHCP a DNS požadavky a také HTTP/HTTPS směřující na ClearPass Guest portál. Jiná HTTP/HTTPS komunikace je zpracována prvkem lokálně (ten udělá redirect). Vše ostatní je blokováno.
  5. Klient otevře prohlížeč a pokusí se přistoupit na domovskou stránku.
  6. Klient nejprve požádá o DNS překlad.
  7. Klient zná IP své domovské stránky a zahájí HTTP komunikaci.
  8. Protože tato nesměřuje na IP adresu ClearPass Guest portálu, switch naváže TCP spojení s klientem a pošle mu HTTP redirect.
  9. Klient přistoupí na HTTP stránku ClearPass Guest, kterou switch propouští s tím, že switch k URL zakóduje i informace o MAC a IP klienta. Pro maximální bezpečnost (pro případ, že by někdo dokázal vstoupit do provozu mezi prvkem a ClearPass, což je prakticky nemožné, pokud není někdo uvnitř) je možné tyto údaje ještě kryptograficky zajistit (HMAC-SHA1 pro integritu paketu).
  10. Klient na webu zadá přihlašovací údaje a je informován o úspěchu.
  11. ClearPass pošle přepínači žádost o opětovné přihlášení uživatele (CoA).
  12. Prvek pošle nový Access-Request.
  13. ClearPass Policy Manager je informován ClearPass Guest o úspěšném přihlášení hosta, takže tentokrát vrátí ClearPass Policy Manager Access-Accept směřující například do Guest VLAN s nějakým ACL (bez požadavku na HTTP redirect)

A co když je domovská URL prohlížeče HTTPS? Pak prvku nezbude, než nejen vystupovat jako cílová IP k navázání TCP spojení (jak to dělá s HTTP požadavkem), ale tentokrát musí šifrovat a poskytnout tak svůj certifikát. Klient dostane varování v prohlížeči (a to i v případě, že prvku poskytnete oficiální certifikát – každý certifikát obsahuje hostname, na který byl vystaven, takže i když je vydavatel certifikátu důvěryhodný, nebude se shodovat jeho jméno s požadovanou stránkou – certifikát google.com do prvku nedostanete).

Jak se nastavuje?

Není to vůbec nic složitého. Nastavte RADIUS serveru v prvku, zapněte třeba MAC ověřování a také aktivujte funkci captive portal (tím se zapne reakce na RADIUS atribut HP-Captive-Portal-URL).

radius-server host 1.2.3.4 key aruba123
aaa port-access mac-based 1/1-1/10,1/14
aaa authentication captive-portal enable
ArubaOS generace 16 si budete moci stáhnout na začátku února 2016.
Similar posts
  • ArubaOS-Switch 16.02: IP SLA i pro Ar... IP SLA Ve světě směrovačů už poměrně dlouho existuje možnost monitorovat dostupnost a kvalitu spojení s využitím L3 protokolů. Můžete například z pobočky v pravidelných intervalech testovat dostupnost brány datového centra nebo klíčového serveru včetně měření doby jeho reakce (round-trip-time). Dá se také namířit dva routery proti sobě tak, že jeden se ptá a druhý [...]
  • HPE Networking na GitHub – skri... Zaměstnanci HPE publikovali zajímavé skripty a celé knihovny jako open source v licenci Apache2, tedy k volnému použití včetně jakýchkoli modifikací. https://github.com/HPENetworking/scriptsonly Obsah se bude jistě dost rozšiřovat… přidejte si záložku [...]
  • Návod na Aruba ClearPass v češtině Čtěte online na stránkách netSvět: http://www.netsvet.cz/clearpasslab [...]
  • ArubaOS-Switch API (2) – skript... Část 2 z celkových 2 v seriálu ArubaOS-Switch APIArubaOS-Switch APIArubaOS-Switch API (1) – první kroky s cURLArubaOS-Switch API (2) – skript v PythonArubaOS-Switch API (2) – skript v Python V minulém díle jsme si vyzkoušeli základní přístup na nové RESTful API prvků Aruba. Dnes ho už opravdu využijeme – tentokrát v Python. Zalogování v Python [...]
  • ArubaOS-Switch API (1) – první ... Část 1 z celkových 2 v seriálu ArubaOS-Switch APIArubaOS-Switch APIArubaOS-Switch API (1) – první kroky s cURLArubaOS-Switch API (2) – skript v PythonArubaOS-Switch API (1) – první kroky s cURL Nový kód pro prvky jako jsou 2530, 2920, 5400R, 3800 nebo 3810 přichází s novou funkcí – RESTful API. Jde o programovatelný přístup, který umožní [...]

No Comments Yet

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *