Benutzer-Werkzeuge

Webseiten-Werkzeuge


omnivista-upam-ad-rolemapping-dot1x-stellar-wlan

Dies ist eine alte Version des Dokuments!


Hier entsteht ein Artikel, wie man eine SSID über 802.1x absichert und die Credentials des AD-Benutzers verwenden kann um eine Authentifizierung durchzuführen.

Authentifizierung eines AD-Benutzers (802.1x EAP-PEAP) mithilfe des OmniVista 2500(OV2500)/ UPAM

In diesem Artikel wird beschrieben, wie man ein Active-Directory an das UPAM-Modul anbindet und mithilfe von AD-Attributen die Benutzer in verschiedene VLANs verschiebt. Die Benutzer können sich mit ihren AD-Credentials an einer SSID anmelden und bekommen Ihre Resourcen zur Verfügung gestellt. In diesem Beispiel werden wir zwei Benutzer von verschiedenen Standorten über eine einzige SSID in verschiedene Subnetze schieben.

Aufbau

Für die Umsetzung wird ein OV2500 mit UPAM benötigt. Zusätzlich setzen wir hier Stellar WLAN ein und ein Actice-Directory (AD). Das Active-Directory ist in der Regel beim Endkunden schon implementiert. Falls der Kunde mehrere ADs im Einsatz hat und diese eine Vertrauensstellung haben, reicht es aus am UPAM-Modul das ROOT-AD anzubinden.

Grundlegende Aufbau Stellar WLAN

Um zu starten benötigen wir AP Groups, wo wir die Access Role Profiles und SSIDs ausrollen können. In den folgenden zwei Bildern sind Beispiele, wie eine AP Group und wie Access Role Profile aussehen können. Wichtig bei den Access Role Profilen ist, dass sie mit dem Button „Apply to Device“ zu einer AP Group zugewiesen werden und auf das richtige VLAN verweisen.

UPAM an das AD koppeln

Im UPAM-Modul ist es möglich das AD anzubinden. Es gibt verschiedene Möglichkeiten. Man kann die Datenbank über LDAP oder das Active-Directory direkt anbinden. Über LDAPS kann man die Verbindung verschlüsseln. In diesem Beispiel ist kein Zertifikat vorhanden, deswegen wird das ganze ohne LDAPS angebunden.

SSID erstellen

Bei der SSID muss darauf geachtet werden, das man „Enterprise Network for Employees (802.1x)“ Enterprise auswählt. Anschließend wird im UPAM-Modul automatisch eine Access Policy und eine Authentication Strategy erstellt. Im unteren Teil kann als Default VLAN ein „Dummy VLAN“ ausgewählt werden. In diesem Beispiel wird der Traffic über einen Tunnel (Remote Access Point) geleitet. Dies liegt an der an der Infrastruktur im Testlab.

UPAM-Modul - Einstellungen

Im UPAM-Modul sind über die Erstellung der SSID automatisch 2 Proflie erstellt wurden. (Access Policy und Authentication Strategy). Die Access Policy regelt, welche Authentication Strategy bei den Usern angewendet wird. In diesem Beispiel werden User, die über die SSID dot1x_AD kommen an die Authentication Strategy dot1x_AD weitergegeben. Die Authentication Strategy regelt die Autehntication Source (wo befindet sich die Datenbank mit den Usern - External LDAP/AD, Local Database, External Radius). Desweiteren kann ich hier das Role Mapping aktivieren, womit ich dann über Rückgabewerte des ADs die User in verschiedene VLANs schieben kann.

Über die SSID wird automatisch in der Authentication Strategy als Authentication Source „Local Database“ ausgewählt. Bitte dies auf „External LDAP/AD“ ändern!

omnivista-upam-ad-rolemapping-dot1x-stellar-wlan.1658398718.txt.gz · Zuletzt geändert: 2022/07/21 10:18 von simon

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki