Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- stellar-wlan-configuration [2017/08/25 11:44] – michael-neesen
+++ stellar-wlan-configuration [2024/06/09 10:29] (aktuell) – Externe Bearbeitung 127.0.0.1
@@ Zeile 1: / Zeile 1: @@
 ====== OmniAccess Stellar AP OmniVista Guest Access (UPAM) ======
+**Schnellübersicht der Schritte zum Einrichten von SSIDs mit OmniVista und Stellar-WLAN:\\ **
+{{ ::oawstellar_quickstart_workflow-v4.pdf | Quickstart Workflow Stellar WLAN}}
+====== OmniAccess Stellar AP mit OmniVista 2500 ======
+===== WLAN Service =====
+Im Folgenden wird Schritt für Schritt erklärt, was zu tun ist, um eine SSID mit Gäste-Login über OmniVista zu konfigurieren und auf den Access Point auszurollen.
-====== OmniAccess Stellar AP ClearPass Integration ======
+Als erstes wird unter 'Unified Access -> Unified Profile -> Template -> WLAN Service' ein WLAN-Service Profil erstellt. Dieses Profil muss eine offene SSID mit MAC-Authentifizierunge und OmniVista UPAM als AAA-Server Profil konfiguriert haben:
+{{ stellar-upam-guest:guest-wlan-service.png?direct&800 |}}
-===== Guest Access ClearPass Konfiguration =====
+UPAM ist dabei sowohl Authentication als auch Accounting Server.
+{{ stellar-upam-guest:radius-server-upam.png?direct&800 |}}
-Um die Stellar-APs mit ClearPass zu nutzen, müssen folgende Schritte befolgt werden:
+{{ stellar-upam-guest:aaa-upam-1.png?direct&800 |}}
+{{ stellar-upam-guest:aaa-upam-2.png?direct&800 |}}
-**Generelle Einstellungen in ClearPass:**
+<WRAP center round important 60%>
-Vendor Type of the AP:
+Wird UPAM nicht als Accounting-Server eingetragen, kann dies dazu führen, dass Clients, nachdem sie das Netzwerk verlassen haben, immer noch im OmniVista als aktive Clients zu sehen sind.
-{{ :vendor-settings.png?600 |}}
+</WRAP>
-Und im ClearPass Guest unter 'Clearpass -> Guest -> Configuration -> Authentication'
+Außerdem ist noch wichtig, dass beim Anlegen des WLAN-Services, ein Default Access Role Profile angelegt wird (in unserem Beispiel Guest-Access-Profile). Dieses wird unter dem Menü 'Unified Access -> Unified Profile -> Template -> Access Role Profile' erstellt und auf die Access Point Gruppe mit 'Apply to device' ausgerollt. Wichtig ist, dass der 'Redirect Status' im Access Role Profile aktiviert wird.
-{{ :auth-settings.png?600 |}}
+Im Schritt 'Apply to device' wird dann das Mapping zum VLAN vorgenommen:
+{{ stellar-upam-guest:apply-to-device-1.png?direct&800 |}}
+{{ stellar-upam-guest:apply-to-device-2.png?direct&800 |}}
+{{ stellar-upam-guest:apply-to-device-3.png?direct&800 |}}
+{{ stellar-upam-guest:apply-to-device-4.png?direct&800 |}}
-Des Weiteren muss eine Gäste-Seite (Web Login) erstellt sein, die die Anmeldung durchführt.
+<WRAP center round tip 60%>
-{{ ::stellar-guest-weblogin.png?600 |}}
+Das VLAN, was beim Rollout der Access Points ausgerollt wird, muss auch am Access Point anliegen. Dies wird vom Access Point per 802.1q-Tag an den Switch, an dem der Access Point angeschlossen ist, weitergegeben. Ist das VLAN dort nicht vorhanden und nicht für den Access Point getaggt, kann der Traffic (auch Authentifizierungstraffic) nicht weitergegeben werden.
+</WRAP>
-Es müssen drei Enforcement Profile angelegt werden:\\
+Anschließend kann der WLAN Service auf die AP-Gruppe ausgerollt werden (ähnlich wie im vorherigen Schritt mit den Access Role Profiles.
-In unserem Fall:
-  * Stellar-Guest: Gibt als Rückgabe-Wert das UNP Stellar-Guest zurück
-{{ ::radius-stellar-guest.png?600 |}}
+<WRAP center round important 60%>
+Der WLAN-Service kann nur auf Access Points ausgerollt werden, die auch das Default Access Role Profile konfiguriert haben. Andernsfalls ist die AP-Gruppe nicht im Auswahlfeld zu sehen!
+</WRAP>
-  * Stellar-Guest-CoA: Ändert bei erfolgreicher Anmeldung das UNP von Stellar-Guest-Redirect auf Stellar-Guest
+Bevor die Konfiguration des UPAM fortgesetzt wird, muss noch als letzter Schritt der UPAM-Server als Global-Setting auf die APs ausgerollt werden.
+Dazu wälen wir unter 'Unified Access -> Unified Profile -> Template -> Global Configuration -> Setting' den '//upamGlobalConfiguration//' aus und rollen diesen auf die AP-Gruppe aus.
+{{ stellar-upam-guest:upam-global-setting.png?direct&800 |}}
-{{ ::radius-stellar-guest-coa.png?600 |}}
+Nun wird die SSID vom Access Point ausgestrahlt und Clients können sich mit der SSID verbinden.
-  * Stellar Guest Redirect: Gibt die Redirect-URL zurück und die Stellar-Guest-Redirect Rolle.
+===== UPAM Konfiguration  =====
+Als nächster Schritt wird eine Access Policy unter 'UPAM -> Authentication -> Access Policy' erstellt. Diese besteht aus zwei Teilen: \\
-{{ ::radius-stellar-guest-redirect.png?600 |}}
+Zum einen wird eine 'Mapping Condition' festgelegt, wann diese Access Policy greift. An dieser Stelle wählen wir die SSID aus, die wir über den WLAN-Service erstellt haben, und klicken auf das Plus. Ohne auf das Plus zu klicken, kann die Access Policy nicht angewandt werden!
-<WRAP center round tip 60%>
+{{ stellar-upam-guest:access-policy-guest.png?direct&800 |}} \\
-Wichtig bei dem Redirect-Profil ist, dass die URL korrekt zurückgegeben wird. Hier muss auf jeden Fall die MAC-Adresse eingetragen sein. Andernfalls fehlen bei der Anmeldungen Informationen, um die MAC-Adresse im ClearPass als bekannte Mac-Adresse zu markieren. In unserem Beispiel:\\
+Zum anderen wird die 'Authentication Strategy' ausgewählt. Für Gäste wird hier keine Authentication Source ausgefählt und auch hier das Guest-Access-Profile als Default Access Profile hinterlegt. Als Web-Redirection Enforcement, wir der Guest-Access ausgefählt, in unserem Fall die 'Default Guest'. Diese finden wir unter 'UPAM -> Guest Access -> Guest Access Strategy'.
-**clearpass.alu4u.com/guest/stellar-guest.php?&mac=%{Connection:Client-Mac-Address-Colon}**
+Anschließend wenden wir die Änderungen in der Access Policy und der Authentication Strategy an.
+<WRAP center round info 60%>
+Im ersten Release von OmniVista 2500 4.2.2 wird nur EINE Guest-Access Strategy unterstützt. Hier ist die Default Guest vorhanden. Diese kann ich allerdings so anpassen, wie ich sie für meine Bedürfnisse brauche und aus den Optionen Benutzername&Passwort, AGB und Access Code auswählen.
 </WRAP>
-Anschließend kombinieren wir diese Profile zu Enforcement Policies:
+Die Guest-Access Strategy wird genutzt, um zu entscheiden welche Authentifizierungsmethode gewählt wird (Login Strategy) und wohin der Client umgeleitet wird. Die Access Point schicken die Ziel-URL des Clients mit und sind damit in der Lage auch zu dieser Ziel-URL weiterzuleiten, sobald die Authentifizierung abgeschlossen ist. Außerdem ist es möglich die Success Page des OmniVista zu nutzen oder eine fixe URL (Beispielsweise Hotel- oder Firmenhomepage) zu hinterlegen.\\
-Die erste Policy kommt bei der initialen MAC-Authentifizierung und dann bei jedem wiederholen der Anmeldung zum Tragen. Hier wird entschieden, ob das Redirect durchgeführt wird oder ob die MAC-Adresse bekannt ist und gleich das Gäste-Profil zurückgegeben wird:
-{{ :enforcement-policy-mac.png?600 |}}
-Bei der Web-Authentifizierung wird ein Change of Authorization durchgeführt. Dies ist unabhängig von der
+{{ stellar-upam-guest:guest-access-strategy-1.png?direct&800 |}}
-{{ :enforcement-policy-web.png?600 |}}
+Im 'Self-Registration Strategy' Teil der 'Guest-Access Strategy' können Gäste sich auch selber einen Account einrichten. Hier kann ich mehrere Attribute wie Firmennamen, Besuchte Person, Abteilung... auswählen.
+Wird der Haken bei 'Approved by Sponsor' gesetzt, kann eine Domain-Restriktion erfolgen, an welche die Requests verschickt werden dürfen. Der Sponsor bekommt nach Erstellen des Gäste-Accounts eine Benachrichtigung und kann den Account anschließend freigeben.\\
+{{ stellar-upam-guest:guest-access-strategy-2.png?direct&800 |}}
-Aus diesen drei Enforcement Profilen und den zwei Enforcement Policies bauen wir anschließend zwei Services: Eine Mac-Authentifizierung und eine Web-Authentifizierung:
+Des Weiteren können Guest-Operators angelegt und verwaltet werden. Dies ist unter 'UPAM -> Guest Access -> Guest Operator' zu finden.
-{{ ::service-stellar-mac.png?600 |}}\\
-{{ :service-stellar-web.png?600 |}}
-===== Guest Access OmniVista 2500 Konfiguration =====
+Jetzt ist die SSID auch mit einem funktionieren Captive Portal hinterlegt.
-Im OmniVista 2500 müssen die Access Role Profiles, die über die Enforcement-Policies an den Access Point zurückgegeben werden, nun noch konfiguriert und auf die Access Point-Gruppe ausgerollt werden.
+<WRAP center round info 60%>
-Dazu erstellen wir unter 'Unified Access -> Unified Profile -> Template -> Access Role Profile' die entsprechenden Profile und rollen diese über 'Apply to device' auf den AP aus.
+Zusätzlicher Hinweis: Damit OmniVista in der Lage ist, den Gast und den Sponsor per E-Mail über den Vorgang zu benachrichtigen, muss unter 'UPAM -> Setting -> Email Server' Der Mail-Server konfiguriert werden.
-Das Stellar-Guest-Redirect Access Role Profile muss dabei die Option 'redirect' auf 'enable' gesetzt haben. Andernfalls findet kein redirect auf den ClearPass Server statt.
+{{ stellar-upam-guest:mail-settings.png?600 |}}
-<WRAP center round important 60%>
-Die VLAN-Zuordnung, die während des Schrittes 'Apply to device' ausgewählt werden, müssen auch am Access Point getaggt anliegen. Andernfalls ist keine Kommunikation möglich.
 </WRAP>
-Unter 'Unified Access -> Unified Profile -> Template -> AAA Server Profile' muss nun ein AAA Server Profile erstellt werden, in dem der AAA Server für Accounting und Authentication für alle Authentifizierungsmethoden der ClearPass Server ist.
+===== Anpassung Captive Portal =====
+Das Captive Portal kann in einem begrenzten Maße angepasst werden. Die Einstellungen dazu erfolgen unter 'UAPM -> Setting -> Captive Portal Page'.\\
-Außerdem muss unter 'Unified Access -> Unified Profile -> Template -> Global Configuration' unter 'Setting' der ClearPass als Redirect Server eingetragen werden und auf die Access Point Gruppe ausgerollt werden. Dadurch wird der Zugriff auf ClearPass als CP erlaubt.
+{{ stellar-upam-guest:cp-setting.png?direct&800 |}}
-{{ ::redirect-global-setting.png?600 |}}
-Abschließend konfigurieren wir nun einen WLAN-Service 'Stellar-ClearPass-Guest':\\
+Hier kann per 'edit' das Template der Welcome und Success Page angepasst werden. Des Weiteren ist es möglich unter 'Customization'die Welcome und Success Portal Page zu editieren. Dazu werden, je nach Layout, mehrere Bilder hochgeladen. Diese müssen heute noch einem bestimmten Format entsprechen und dürfn maximal 500kb und 1280*200 bzw. 1280*1280 Pixel groß sein.
-Zu beachten ist dabei, dass die MAC-Authentifizierung eingeschaltet ist, der richtige AAA-Server genutzt wird und das Access Role Profile, was per default vergeben wird (in diesem Szenario kann dieses Profil nicht eingesetzt werden, da immer ein UNP-Radius-Attribut vom ClearPass zurückgegeben wird) auf der Access Point Gruppe vorhanden ist.
+{{ stellar-upam-guest:cp-customizing.png?direct&800 |}}
-{{ ::wlan-service.png?600 |}}
-Alle anderen Einstellungen können im default gelassen werden.
-Dieser Service wird nun per 'Apply to device' auf die AP-Gruppe ausgerollt.