Inhaltsverzeichnis
OmniAccess Stellar AP mit ClearPass
Guest Access ClearPass Konfiguration
Um die Stellar-APs mit ClearPass zu nutzen, müssen folgende Schritte befolgt werden:
Generelle Einstellungen in ClearPass:
Vendor Type of the AP:
Und im ClearPass Guest unter 'Clearpass → Guest → Configuration → Authentication'
Des Weiteren muss eine Gäste-Seite (Web Login) erstellt sein, die die Anmeldung durchführt.
Es müssen drei Enforcement Profile angelegt werden:
In unserem Fall:
- Stellar-Guest: Gibt als Rückgabe-Wert das UNP Stellar-Guest zurück
- Stellar-Guest-CoA: Ändert bei erfolgreicher Anmeldung das UNP von Stellar-Guest-Redirect auf Stellar-Guest
- Stellar Guest Redirect: Gibt die Redirect-URL zurück und die Stellar-Guest-Redirect Rolle.
Wichtig bei dem Redirect-Profil ist, dass die URL korrekt zurückgegeben wird. Hier muss auf jeden Fall die MAC-Adresse eingetragen sein. Andernfalls fehlen bei der Anmeldungen Informationen, um die MAC-Adresse im ClearPass als bekannte Mac-Adresse zu markieren. In unserem Beispiel:
clearpass.alu4u.com/guest/stellar-guest.php?&mac=%{Connection:Client-Mac-Address-Colon}
Anschließend kombinieren wir diese Profile zu Enforcement Policies: Die erste Policy kommt bei der initialen MAC-Authentifizierung und dann bei jedem wiederholen der Anmeldung zum Tragen. Hier wird entschieden, ob das Redirect durchgeführt wird oder ob die MAC-Adresse bekannt ist und gleich das Gäste-Profil zurückgegeben wird:
Bei der Web-Authentifizierung wird ein Change of Authorization durchgeführt. Dies ist unabhängig von der
Aus diesen drei Enforcement Profilen und den zwei Enforcement Policies bauen wir anschließend zwei Services: Eine Mac-Authentifizierung und eine Web-Authentifizierung:
Guest Access OmniVista 2500 Konfiguration
Im OmniVista 2500 müssen die Access Role Profiles, die über die Enforcement-Policies an den Access Point zurückgegeben werden, nun noch konfiguriert und auf die Access Point-Gruppe ausgerollt werden. Dazu erstellen wir unter 'Unified Access → Unified Profile → Template → Access Role Profile' die entsprechenden Profile und rollen diese über 'Apply to device' auf den AP aus. Das Stellar-Guest-Redirect Access Role Profile muss dabei die Option 'redirect' auf 'enable' gesetzt haben. Andernfalls findet kein redirect auf den ClearPass Server statt.
Die VLAN-Zuordnung, die während des Schrittes 'Apply to device' ausgewählt werden, müssen auch am Access Point getaggt anliegen. Andernfalls ist keine Kommunikation möglich.
Unter 'Unified Access → Unified Profile → Template → AAA Server Profile' muss nun ein AAA Server Profile erstellt werden, in dem der AAA Server für Accounting und Authentication für alle Authentifizierungsmethoden der ClearPass Server ist.
Außerdem muss unter 'Unified Access → Unified Profile → Template → Global Configuration' unter 'Setting' der ClearPass als Redirect Server eingetragen werden und auf die Access Point Gruppe ausgerollt werden. Dadurch wird der Zugriff auf ClearPass als CP erlaubt.
Abschließend konfigurieren wir nun einen WLAN-Service 'Stellar-ClearPass-Guest':
Zu beachten ist dabei, dass die MAC-Authentifizierung eingeschaltet ist, der richtige AAA-Server genutzt wird und das Access Role Profile, was per default vergeben wird (in diesem Szenario kann dieses Profil nicht eingesetzt werden, da immer ein UNP-Radius-Attribut vom ClearPass zurückgegeben wird) auf der Access Point Gruppe vorhanden ist.
Alle anderen Einstellungen können im default gelassen werden. Dieser Service wird nun per 'Apply to device' auf die AP-Gruppe ausgerollt.