Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- uademo [2016/08/12 10:38] – michael
+++ uademo [2024/06/09 10:29] (aktuell) – Externe Bearbeitung 127.0.0.1
@@ Zeile 20: / Zeile 20: @@
 ----
-====== Integration in OmniVista 4.2.1 (Beta) ======
+====== Integration in OmniVista 4.2.1 ======
 <WRAP center round tip 80%>
@@ Zeile 27: / Zeile 27: @@
 Die Integration der Switche in OmniVista 4.2 erfolgt über das Menü -> Network -> Discovery
-Zum discovern der Switche werden die Informationen über einen SNMP-Benutzer, möglichst über einen Konsolen-Benutzer und die Einstellung von SNMP-Security und IP-Adressen der Switche benötigt. Diese Daten sind in einem Discovery-Profile zu hinterlegen.
+Zum discovern der Switche werden die Informationen über einen SNMP-Benutzer, möglichst über einen Konsolen-Benutzer und die Einstellung von SNMP-Security und IP-Adressen der Switche benötigt. Diese Daten sind in einem Discovery-Profile zu hinterlegen. Eine detaillierte Beschreibung ist [[devicediscovery|hier]] zu finden.
 {{ :dicovery_profile.png?nolink |}}
@@ Zeile 90: / Zeile 90: @@
 Als Abschluss kann ausgewählt werden, was mit dem Traffic passiert, bevor die Authentifizierung erfolgreich stattgefunden hat. Der Wert steht standardmäßig auf "Block All Traffic". Dies ist die sicherste Variante und sollte nach Möglichkeit beibehalten werden.
+\====== Konfiguration des Clearpass Servers ======
-====== Konfiguration des Clearpass Servers ======
 ===== Vorbereitung =====
@@ Zeile 110: / Zeile 109: @@
 ===== Service =====
-Für die 802.1x Authentifizierung
+Für die 802.1x Authentifizierung wird unter Configuration -> Services ein neuer Service benötigt, dazu Add auswählen. Durch die Auswahl des Typs "802.1X Wired" werden die passenden Service Rule Conditions ausgewählt. Diese können bei Bedarf auch angepasst werden.
+{{ ::clearpass-1x-service1.png?nolink |}}
+Als Authentifizierungsmethoden wurde lediglich EAP-TLS manuell hinzugefügt. Diese Methode wird für das OnBoarding benötigt und wird in einem separaten Artikel beschrieben.
+Als Authentifizierungsquelle wird die eben angelegte AD ausgewählt. Für das OnBoarding wird zusätzlich das "OnBoard Devices Repository" benötigt.
+{{ ::clearpass-1x-service2.png?nolink |}}
+Im nächsten Schritt wird ein Role Mapping und eine Enforcement Policy erstellt, um die authentifizierten Nutzer ihrem passenden UNP zuweisen zu können.
+Über das Role Mapping wird im Clearpass Server intern eine Rolle zugewiesen, welche dann für das Enforcement in unterschiedlichen Policies genutzt werden kann. Für die Rollenzuweisung kann der Clearpass Server auf AD-Attribute wie z.B. Gruppenzugehörigkeit (memberOf) oder Abteilung (Department) zugreifen.\\
+Hierfür auf "Add new Role Mapping Policy" klicken und die entsprechenden Einstellungen vornehmen, wobei die verwendeten Roles zuvor Configuration -> Identity -> Roles angelegt werden müssen.\\
+In diesem Beispiel wird die Gast-Rolle angewendet, wenn der Nutzer keiner anderen Rolle zugeordnet werden kann. Dies kann beispielsweise dahingehend angepasst werden, dass hierfür eine generische Mitarbeitet-Rolle verwendet wird.
+{{ ::clearpass-1x-rolemapping.png?nolink |}}
+Für die Zuweisung der Rolle auf den OmniSwitchen wird eine Enforcement Policy benötigt, welche die Clearpass Rolle über eine Filter-ID auf den OmniSwitch überträgt. Diese wird über "Add new Enforcement Policy" angelegt und wie im folgenden Screenshot dargestellt konfiguriert. Auch hier werden die beiden OnBoard BYOD Einträge später für das OnBoarding benötigt und können in diesem Schritt vernachlässigt werden.
+{{ ::clearpass-1x-enforcement.png?nolink |}}
+Die finale Konfiguration des Services sollte folgendermaßen aussehen:
+{{ ::clearpass-1x-service.png?nolink |}}