DokuWiki

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen:
stellar-wlan-configuration

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
stellar-wlan-configuration [2017/08/28 07:13] michael-neesenstellar-wlan-configuration [2024/06/09 10:29] (aktuell) – Externe Bearbeitung 127.0.0.1
Zeile 4: Zeile 4:
  
 ====== OmniAccess Stellar AP mit OmniVista 2500 ====== ====== OmniAccess Stellar AP mit OmniVista 2500 ======
 +===== WLAN Service =====
 Im Folgenden wird Schritt für Schritt erklärt, was zu tun ist, um eine SSID mit Gäste-Login über OmniVista zu konfigurieren und auf den Access Point auszurollen. Im Folgenden wird Schritt für Schritt erklärt, was zu tun ist, um eine SSID mit Gäste-Login über OmniVista zu konfigurieren und auf den Access Point auszurollen.
  
 Als erstes wird unter 'Unified Access -> Unified Profile -> Template -> WLAN Service' ein WLAN-Service Profil erstellt. Dieses Profil muss eine offene SSID mit MAC-Authentifizierunge und OmniVista UPAM als AAA-Server Profil konfiguriert haben: Als erstes wird unter 'Unified Access -> Unified Profile -> Template -> WLAN Service' ein WLAN-Service Profil erstellt. Dieses Profil muss eine offene SSID mit MAC-Authentifizierunge und OmniVista UPAM als AAA-Server Profil konfiguriert haben:
  
-{{ ::guest-wlan-service.png?800 |}}+{{ stellar-upam-guest:guest-wlan-service.png?direct&800 |}}
  
 UPAM ist dabei sowohl Authentication als auch Accounting Server. UPAM ist dabei sowohl Authentication als auch Accounting Server.
-{{ ::radius-server-upam.png?800 |}}+{{ stellar-upam-guest:radius-server-upam.png?direct&800 |}}
  
-{{ ::aaa-upam-1.png?800 |}} +{{ stellar-upam-guest:aaa-upam-1.png?direct&800 |}} 
-{{ ::aaa-upam-2.png?800 |}}+{{ stellar-upam-guest:aaa-upam-2.png?direct&800 |}}
  
 <WRAP center round important 60%> <WRAP center round important 60%>
Zeile 22: Zeile 23:
 Außerdem ist noch wichtig, dass beim Anlegen des WLAN-Services, ein Default Access Role Profile angelegt wird (in unserem Beispiel Guest-Access-Profile). Dieses wird unter dem Menü 'Unified Access -> Unified Profile -> Template -> Access Role Profile' erstellt und auf die Access Point Gruppe mit 'Apply to device' ausgerollt. Wichtig ist, dass der 'Redirect Status' im Access Role Profile aktiviert wird. Außerdem ist noch wichtig, dass beim Anlegen des WLAN-Services, ein Default Access Role Profile angelegt wird (in unserem Beispiel Guest-Access-Profile). Dieses wird unter dem Menü 'Unified Access -> Unified Profile -> Template -> Access Role Profile' erstellt und auf die Access Point Gruppe mit 'Apply to device' ausgerollt. Wichtig ist, dass der 'Redirect Status' im Access Role Profile aktiviert wird.
 Im Schritt 'Apply to device' wird dann das Mapping zum VLAN vorgenommen: Im Schritt 'Apply to device' wird dann das Mapping zum VLAN vorgenommen:
-{{ ::apply-to-device-1.png?800 |}} +{{ stellar-upam-guest:apply-to-device-1.png?direct&800 |}} 
-{{ ::apply-to-device-2.png?800 |}} +{{ stellar-upam-guest:apply-to-device-2.png?direct&800 |}} 
-{{ ::apply-to-device-3.png?800 |}} +{{ stellar-upam-guest:apply-to-device-3.png?direct&800 |}} 
-{{ ::apply-to-device-4.png?800 |}}+{{ stellar-upam-guest:apply-to-device-4.png?direct&800 |}}
  
 <WRAP center round tip 60%> <WRAP center round tip 60%>
Zeile 39: Zeile 40:
 Bevor die Konfiguration des UPAM fortgesetzt wird, muss noch als letzter Schritt der UPAM-Server als Global-Setting auf die APs ausgerollt werden. Bevor die Konfiguration des UPAM fortgesetzt wird, muss noch als letzter Schritt der UPAM-Server als Global-Setting auf die APs ausgerollt werden.
 Dazu wälen wir unter 'Unified Access -> Unified Profile -> Template -> Global Configuration -> Setting' den '//upamGlobalConfiguration//' aus und rollen diesen auf die AP-Gruppe aus. Dazu wälen wir unter 'Unified Access -> Unified Profile -> Template -> Global Configuration -> Setting' den '//upamGlobalConfiguration//' aus und rollen diesen auf die AP-Gruppe aus.
-{{ ::upam-global-setting.png?800 |}}+{{ stellar-upam-guest:upam-global-setting.png?direct&800 |}}
  
-Nun wird die SSID vom Access Point ausgestrahlt und Clients können sich mit der SSID verbinden. Als nächster Schritt wird eine Access Policy unter 'UPAM -> Authentication -> Access Policy' erstellt. Diese besteht aus zwei Teilen: \\+Nun wird die SSID vom Access Point ausgestrahlt und Clients können sich mit der SSID verbinden.  
 + 
 +===== UPAM Konfiguration  ===== 
 +Als nächster Schritt wird eine Access Policy unter 'UPAM -> Authentication -> Access Policy' erstellt. Diese besteht aus zwei Teilen: \\
  
 Zum einen wird eine 'Mapping Condition' festgelegt, wann diese Access Policy greift. An dieser Stelle wählen wir die SSID aus, die wir über den WLAN-Service erstellt haben, und klicken auf das Plus. Ohne auf das Plus zu klicken, kann die Access Policy nicht angewandt werden! Zum einen wird eine 'Mapping Condition' festgelegt, wann diese Access Policy greift. An dieser Stelle wählen wir die SSID aus, die wir über den WLAN-Service erstellt haben, und klicken auf das Plus. Ohne auf das Plus zu klicken, kann die Access Policy nicht angewandt werden!
  
-{{ ::access-policy-guest.png?800 |}} \\+{{ stellar-upam-guest:access-policy-guest.png?direct&800 |}} \\
  
 Zum anderen wird die 'Authentication Strategy' ausgewählt. Für Gäste wird hier keine Authentication Source ausgefählt und auch hier das Guest-Access-Profile als Default Access Profile hinterlegt. Als Web-Redirection Enforcement, wir der Guest-Access ausgefählt, in unserem Fall die 'Default Guest'. Diese finden wir unter 'UPAM -> Guest Access -> Guest Access Strategy'. Zum anderen wird die 'Authentication Strategy' ausgewählt. Für Gäste wird hier keine Authentication Source ausgefählt und auch hier das Guest-Access-Profile als Default Access Profile hinterlegt. Als Web-Redirection Enforcement, wir der Guest-Access ausgefählt, in unserem Fall die 'Default Guest'. Diese finden wir unter 'UPAM -> Guest Access -> Guest Access Strategy'.
Zeile 57: Zeile 61:
 Die Guest-Access Strategy wird genutzt, um zu entscheiden welche Authentifizierungsmethode gewählt wird (Login Strategy) und wohin der Client umgeleitet wird. Die Access Point schicken die Ziel-URL des Clients mit und sind damit in der Lage auch zu dieser Ziel-URL weiterzuleiten, sobald die Authentifizierung abgeschlossen ist. Außerdem ist es möglich die Success Page des OmniVista zu nutzen oder eine fixe URL (Beispielsweise Hotel- oder Firmenhomepage) zu hinterlegen.\\ Die Guest-Access Strategy wird genutzt, um zu entscheiden welche Authentifizierungsmethode gewählt wird (Login Strategy) und wohin der Client umgeleitet wird. Die Access Point schicken die Ziel-URL des Clients mit und sind damit in der Lage auch zu dieser Ziel-URL weiterzuleiten, sobald die Authentifizierung abgeschlossen ist. Außerdem ist es möglich die Success Page des OmniVista zu nutzen oder eine fixe URL (Beispielsweise Hotel- oder Firmenhomepage) zu hinterlegen.\\
  
-{{ ::guest-access-strategy-1.png?800 |}}+{{ stellar-upam-guest:guest-access-strategy-1.png?direct&800 |}}
  
 Im 'Self-Registration Strategy' Teil der 'Guest-Access Strategy' können Gäste sich auch selber einen Account einrichten. Hier kann ich mehrere Attribute wie Firmennamen, Besuchte Person, Abteilung... auswählen.  Im 'Self-Registration Strategy' Teil der 'Guest-Access Strategy' können Gäste sich auch selber einen Account einrichten. Hier kann ich mehrere Attribute wie Firmennamen, Besuchte Person, Abteilung... auswählen. 
Zeile 63: Zeile 67:
 Wird der Haken bei 'Approved by Sponsor' gesetzt, kann eine Domain-Restriktion erfolgen, an welche die Requests verschickt werden dürfen. Der Sponsor bekommt nach Erstellen des Gäste-Accounts eine Benachrichtigung und kann den Account anschließend freigeben.\\ Wird der Haken bei 'Approved by Sponsor' gesetzt, kann eine Domain-Restriktion erfolgen, an welche die Requests verschickt werden dürfen. Der Sponsor bekommt nach Erstellen des Gäste-Accounts eine Benachrichtigung und kann den Account anschließend freigeben.\\
  
-{{ ::guest-access-strategy-2.png?800 |}}+{{ stellar-upam-guest:guest-access-strategy-2.png?direct&800 |}}
  
 Des Weiteren können Guest-Operators angelegt und verwaltet werden. Dies ist unter 'UPAM -> Guest Access -> Guest Operator' zu finden. Des Weiteren können Guest-Operators angelegt und verwaltet werden. Dies ist unter 'UPAM -> Guest Access -> Guest Operator' zu finden.
Zeile 70: Zeile 74:
 <WRAP center round info 60%> <WRAP center round info 60%>
 Zusätzlicher Hinweis: Damit OmniVista in der Lage ist, den Gast und den Sponsor per E-Mail über den Vorgang zu benachrichtigen, muss unter 'UPAM -> Setting -> Email Server' Der Mail-Server konfiguriert werden. Zusätzlicher Hinweis: Damit OmniVista in der Lage ist, den Gast und den Sponsor per E-Mail über den Vorgang zu benachrichtigen, muss unter 'UPAM -> Setting -> Email Server' Der Mail-Server konfiguriert werden.
-{{ :mail-settings.png?600 |}}+{{ stellar-upam-guest:mail-settings.png?600 |}}
 </WRAP> </WRAP>
  
 +===== Anpassung Captive Portal =====
 +Das Captive Portal kann in einem begrenzten Maße angepasst werden. Die Einstellungen dazu erfolgen unter 'UAPM -> Setting -> Captive Portal Page'.\\
 +{{ stellar-upam-guest:cp-setting.png?direct&800 |}}
  
 +Hier kann per 'edit' das Template der Welcome und Success Page angepasst werden. Des Weiteren ist es möglich unter 'Customization'die Welcome und Success Portal Page zu editieren. Dazu werden, je nach Layout, mehrere Bilder hochgeladen. Diese müssen heute noch einem bestimmten Format entsprechen und dürfn maximal 500kb und 1280*200 bzw. 1280*1280 Pixel groß sein.
  
-====== OmniAccess Stellar AP mit ClearPass ====== +{{ stellar-upam-guest:cp-customizing.png?direct&800 |}}
- +
-===== Guest Access ClearPass Konfiguration ===== +
- +
-Um die Stellar-APs mit ClearPass zu nutzen, müssen folgende Schritte befolgt werden: +
- +
-**Generelle Einstellungen in ClearPass:**\\ +
-Vendor Type of the AP:  +
-{{ :vendor-settings.png?600 |}} +
- +
-Und im ClearPass Guest unter 'Clearpass -> Guest -> Configuration -> Authentication' +
-{{ :auth-settings.png?600 |}} +
- +
-Des Weiteren muss eine Gäste-Seite (Web Login) erstellt sein, die die Anmeldung durchführt. +
-{{ ::stellar-guest-weblogin.png?600 |}} +
- +
-Es müssen drei Enforcement Profile angelegt werden:\\ +
-In unserem Fall: +
-  * Stellar-Guest: Gibt als Rückgabe-Wert das UNP Stellar-Guest zurück +
- +
-{{ ::radius-stellar-guest.png?600 |}} +
- +
-  * Stellar-Guest-CoAÄndert bei erfolgreicher Anmeldung das UNP von Stellar-Guest-Redirect auf Stellar-Guest +
- +
-{{ ::radius-stellar-guest-coa.png?600 |}} +
- +
-  * Stellar Guest Redirect: Gibt die Redirect-URL zurück und die Stellar-Guest-Redirect Rolle.  +
- +
-{{ ::radius-stellar-guest-redirect.png?600 |}} +
- +
-<WRAP center round tip 60%> +
- +
-Wichtig bei dem Redirect-Profil ist, dass die URL korrekt zurückgegeben wird. Hier muss auf jeden Fall die MAC-Adresse eingetragen sein. Andernfalls fehlen bei der Anmeldungen Informationen, um die MAC-Adresse im ClearPass als bekannte Mac-Adresse zu markieren. In unserem Beispiel:\\ +
-**clearpass.alu4u.com/guest/stellar-guest.php?&mac=%{Connection:Client-Mac-Address-Colon}** +
- +
-</WRAP> +
- +
-Anschließend kombinieren wir diese Profile zu Enforcement Policies: +
-Die erste Policy kommt bei der initialen MAC-Authentifizierung und dann bei jedem wiederholen der Anmeldung zum Tragen. Hier wird entschieden, ob das Redirect durchgeführt wird oder ob die MAC-Adresse bekannt ist und gleich das Gäste-Profil zurückgegeben wird: +
-{{ :enforcement-policy-mac.png?600 |}} +
- +
-Bei der Web-Authentifizierung wird ein Change of Authorization durchgeführt. Dies ist unabhängig von der  +
- +
-{{ :enforcement-policy-web.png?600 |}} +
- +
- +
- +
-Aus diesen drei Enforcement Profilen und den zwei Enforcement Policies bauen wir anschließend zwei Services: Eine Mac-Authentifizierung und eine Web-Authentifizierung: +
-{{ ::service-stellar-mac.png?600 |}}\\ +
-{{ :service-stellar-web.png?600 |}} +
- +
-===== Guest Access OmniVista 2500 Konfiguration ===== +
-Im OmniVista 2500 müssen die Access Role Profiles, die über die Enforcement-Policies an den Access Point zurückgegeben werden, nun noch konfiguriert und auf die Access Point-Gruppe ausgerollt werden. +
-Dazu erstellen wir unter 'Unified Access -> Unified Profile -> Template -> Access Role Profile' die entsprechenden Profile und rollen diese über 'Apply to device' auf den AP aus. +
-Das Stellar-Guest-Redirect Access Role Profile muss dabei die Option 'redirect' auf 'enable' gesetzt haben. Andernfalls findet kein redirect auf den ClearPass Server statt. +
- +
-<WRAP center round important 60%> +
-Die VLAN-Zuordnung, die während des Schrittes 'Apply to device' ausgewählt werden, müssen auch am Access Point getaggt anliegen. Andernfalls ist keine Kommunikation möglich. +
-</WRAP> +
- +
-Unter 'Unified Access -> Unified Profile -> Template -> AAA Server Profile' muss nun ein AAA Server Profile erstellt werden, in dem der AAA Server für Accounting und Authentication für alle Authentifizierungsmethoden der ClearPass Server ist. +
- +
-Außerdem muss unter 'Unified Access -> Unified Profile -> Template -> Global Configuration' unter 'Setting' der ClearPass als Redirect Server eingetragen werden und auf die Access Point Gruppe ausgerollt werden. Dadurch wird der Zugriff auf ClearPass als CP erlaubt. +
- +
-{{ ::redirect-global-setting.png?600 |}} +
- +
-Abschließend konfigurieren wir nun einen WLAN-Service 'Stellar-ClearPass-Guest':\\ +
- +
-Zu beachten ist dabei, dass die MAC-Authentifizierung eingeschaltet ist, der richtige AAA-Server genutzt wird und das Access Role Profile, was per default vergeben wird (in diesem Szenario kann dieses Profil nicht eingesetzt werden, da immer ein UNP-Radius-Attribut vom ClearPass zurückgegeben wird) auf der Access Point Gruppe vorhanden ist.+
  
-{{ ::wlan-service.png?600 |}} 
  
-Alle anderen Einstellungen können im default gelassen werden. 
-Dieser Service wird nun per 'Apply to device' auf die AP-Gruppe ausgerollt. 
stellar-wlan-configuration.1503904394.txt.gz · Zuletzt geändert: 2024/06/09 10:29 (Externe Bearbeitung)
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki