Benutzer-Werkzeuge

Webseiten-Werkzeuge


stellar-wlan-configuration

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Letzte Überarbeitung Beide Seiten der Revision
stellar-wlan-configuration [2017/08/28 09:19]
michael-neesen
stellar-wlan-configuration [2017/08/28 09:58]
michael-neesen
Zeile 85: Zeile 85:
 {{ ::cp-customizing.png?800 |}} {{ ::cp-customizing.png?800 |}}
  
-====== OmniAccess Stellar AP mit ClearPass ====== 
  
-===== Guest Access ClearPass Konfiguration ===== 
- 
-Um die Stellar-APs mit ClearPass zu nutzen, müssen folgende Schritte befolgt werden: 
- 
-**Generelle Einstellungen in ClearPass:**\\ 
-Vendor Type of the AP:  
-{{ :vendor-settings.png?600 |}} 
- 
-Und im ClearPass Guest unter 'Clearpass -> Guest -> Configuration -> Authentication' 
-{{ :auth-settings.png?600 |}} 
- 
-Des Weiteren muss eine Gäste-Seite (Web Login) erstellt sein, die die Anmeldung durchführt. 
-{{ ::stellar-guest-weblogin.png?600 |}} 
- 
-Es müssen drei Enforcement Profile angelegt werden:\\ 
-In unserem Fall: 
-  * Stellar-Guest: Gibt als Rückgabe-Wert das UNP Stellar-Guest zurück 
- 
-{{ ::radius-stellar-guest.png?600 |}} 
- 
-  * Stellar-Guest-CoA: Ändert bei erfolgreicher Anmeldung das UNP von Stellar-Guest-Redirect auf Stellar-Guest 
- 
-{{ ::radius-stellar-guest-coa.png?600 |}} 
- 
-  * Stellar Guest Redirect: Gibt die Redirect-URL zurück und die Stellar-Guest-Redirect Rolle.  
- 
-{{ ::radius-stellar-guest-redirect.png?600 |}} 
- 
-<WRAP center round tip 60%> 
- 
-Wichtig bei dem Redirect-Profil ist, dass die URL korrekt zurückgegeben wird. Hier muss auf jeden Fall die MAC-Adresse eingetragen sein. Andernfalls fehlen bei der Anmeldungen Informationen, um die MAC-Adresse im ClearPass als bekannte Mac-Adresse zu markieren. In unserem Beispiel:\\ 
-**clearpass.alu4u.com/guest/stellar-guest.php?&mac=%{Connection:Client-Mac-Address-Colon}** 
- 
-</WRAP> 
- 
-Anschließend kombinieren wir diese Profile zu Enforcement Policies: 
-Die erste Policy kommt bei der initialen MAC-Authentifizierung und dann bei jedem wiederholen der Anmeldung zum Tragen. Hier wird entschieden, ob das Redirect durchgeführt wird oder ob die MAC-Adresse bekannt ist und gleich das Gäste-Profil zurückgegeben wird: 
-{{ :enforcement-policy-mac.png?600 |}} 
- 
-Bei der Web-Authentifizierung wird ein Change of Authorization durchgeführt. Dies ist unabhängig von der  
- 
-{{ :enforcement-policy-web.png?600 |}} 
- 
- 
- 
-Aus diesen drei Enforcement Profilen und den zwei Enforcement Policies bauen wir anschließend zwei Services: Eine Mac-Authentifizierung und eine Web-Authentifizierung: 
-{{ ::service-stellar-mac.png?600 |}}\\ 
-{{ :service-stellar-web.png?600 |}} 
- 
-===== Guest Access OmniVista 2500 Konfiguration ===== 
-Im OmniVista 2500 müssen die Access Role Profiles, die über die Enforcement-Policies an den Access Point zurückgegeben werden, nun noch konfiguriert und auf die Access Point-Gruppe ausgerollt werden. 
-Dazu erstellen wir unter 'Unified Access -> Unified Profile -> Template -> Access Role Profile' die entsprechenden Profile und rollen diese über 'Apply to device' auf den AP aus. 
-Das Stellar-Guest-Redirect Access Role Profile muss dabei die Option 'redirect' auf 'enable' gesetzt haben. Andernfalls findet kein redirect auf den ClearPass Server statt. 
- 
-<WRAP center round important 60%> 
-Die VLAN-Zuordnung, die während des Schrittes 'Apply to device' ausgewählt werden, müssen auch am Access Point getaggt anliegen. Andernfalls ist keine Kommunikation möglich. 
-</WRAP> 
- 
-Unter 'Unified Access -> Unified Profile -> Template -> AAA Server Profile' muss nun ein AAA Server Profile erstellt werden, in dem der AAA Server für Accounting und Authentication für alle Authentifizierungsmethoden der ClearPass Server ist. 
- 
-Außerdem muss unter 'Unified Access -> Unified Profile -> Template -> Global Configuration' unter 'Setting' der ClearPass als Redirect Server eingetragen werden und auf die Access Point Gruppe ausgerollt werden. Dadurch wird der Zugriff auf ClearPass als CP erlaubt. 
- 
-{{ ::redirect-global-setting.png?600 |}} 
- 
-Abschließend konfigurieren wir nun einen WLAN-Service 'Stellar-ClearPass-Guest':\\ 
- 
-Zu beachten ist dabei, dass die MAC-Authentifizierung eingeschaltet ist, der richtige AAA-Server genutzt wird und das Access Role Profile, was per default vergeben wird (in diesem Szenario kann dieses Profil nicht eingesetzt werden, da immer ein UNP-Radius-Attribut vom ClearPass zurückgegeben wird) auf der Access Point Gruppe vorhanden ist. 
- 
-{{ ::wlan-service.png?600 |}} 
- 
-Alle anderen Einstellungen können im default gelassen werden. 
-Dieser Service wird nun per 'Apply to device' auf die AP-Gruppe ausgerollt. 
stellar-wlan-configuration.txt · Zuletzt geändert: 2017/08/29 13:50 von michael-neesen