Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- stellar-wlan-configuration [2017/08/28 07:19] – michael-neesen
+++ stellar-wlan-configuration [2017/08/28 07:58] – michael-neesen
@@ Zeile 85: / Zeile 85: @@
 {{ ::cp-customizing.png?800 |}}
-====== OmniAccess Stellar AP mit ClearPass ======
-===== Guest Access ClearPass Konfiguration =====
-Um die Stellar-APs mit ClearPass zu nutzen, müssen folgende Schritte befolgt werden:
-**Generelle Einstellungen in ClearPass:**\\
-Vendor Type of the AP:
-{{ :vendor-settings.png?600 |}}
-Und im ClearPass Guest unter 'Clearpass -> Guest -> Configuration -> Authentication'
-{{ :auth-settings.png?600 |}}
-Des Weiteren muss eine Gäste-Seite (Web Login) erstellt sein, die die Anmeldung durchführt.
-{{ ::stellar-guest-weblogin.png?600 |}}
-Es müssen drei Enforcement Profile angelegt werden:\\
-In unserem Fall:
-  * Stellar-Guest: Gibt als Rückgabe-Wert das UNP Stellar-Guest zurück
-{{ ::radius-stellar-guest.png?600 |}}
-  * Stellar-Guest-CoA: Ändert bei erfolgreicher Anmeldung das UNP von Stellar-Guest-Redirect auf Stellar-Guest
-{{ ::radius-stellar-guest-coa.png?600 |}}
-  * Stellar Guest Redirect: Gibt die Redirect-URL zurück und die Stellar-Guest-Redirect Rolle.
-{{ ::radius-stellar-guest-redirect.png?600 |}}
-<WRAP center round tip 60%>
-Wichtig bei dem Redirect-Profil ist, dass die URL korrekt zurückgegeben wird. Hier muss auf jeden Fall die MAC-Adresse eingetragen sein. Andernfalls fehlen bei der Anmeldungen Informationen, um die MAC-Adresse im ClearPass als bekannte Mac-Adresse zu markieren. In unserem Beispiel:\\
-**clearpass.alu4u.com/guest/stellar-guest.php?&mac=%{Connection:Client-Mac-Address-Colon}**
-</WRAP>
-Anschließend kombinieren wir diese Profile zu Enforcement Policies:
-Die erste Policy kommt bei der initialen MAC-Authentifizierung und dann bei jedem wiederholen der Anmeldung zum Tragen. Hier wird entschieden, ob das Redirect durchgeführt wird oder ob die MAC-Adresse bekannt ist und gleich das Gäste-Profil zurückgegeben wird:
-{{ :enforcement-policy-mac.png?600 |}}
-Bei der Web-Authentifizierung wird ein Change of Authorization durchgeführt. Dies ist unabhängig von der
-{{ :enforcement-policy-web.png?600 |}}
-Aus diesen drei Enforcement Profilen und den zwei Enforcement Policies bauen wir anschließend zwei Services: Eine Mac-Authentifizierung und eine Web-Authentifizierung:
-{{ ::service-stellar-mac.png?600 |}}\\
-{{ :service-stellar-web.png?600 |}}
-===== Guest Access OmniVista 2500 Konfiguration =====
-Im OmniVista 2500 müssen die Access Role Profiles, die über die Enforcement-Policies an den Access Point zurückgegeben werden, nun noch konfiguriert und auf die Access Point-Gruppe ausgerollt werden.
-Dazu erstellen wir unter 'Unified Access -> Unified Profile -> Template -> Access Role Profile' die entsprechenden Profile und rollen diese über 'Apply to device' auf den AP aus.
-Das Stellar-Guest-Redirect Access Role Profile muss dabei die Option 'redirect' auf 'enable' gesetzt haben. Andernfalls findet kein redirect auf den ClearPass Server statt.
-<WRAP center round important 60%>
-Die VLAN-Zuordnung, die während des Schrittes 'Apply to device' ausgewählt werden, müssen auch am Access Point getaggt anliegen. Andernfalls ist keine Kommunikation möglich.
-</WRAP>
-Unter 'Unified Access -> Unified Profile -> Template -> AAA Server Profile' muss nun ein AAA Server Profile erstellt werden, in dem der AAA Server für Accounting und Authentication für alle Authentifizierungsmethoden der ClearPass Server ist.
-Außerdem muss unter 'Unified Access -> Unified Profile -> Template -> Global Configuration' unter 'Setting' der ClearPass als Redirect Server eingetragen werden und auf die Access Point Gruppe ausgerollt werden. Dadurch wird der Zugriff auf ClearPass als CP erlaubt.
-{{ ::redirect-global-setting.png?600 |}}
-Abschließend konfigurieren wir nun einen WLAN-Service 'Stellar-ClearPass-Guest':\\
-Zu beachten ist dabei, dass die MAC-Authentifizierung eingeschaltet ist, der richtige AAA-Server genutzt wird und das Access Role Profile, was per default vergeben wird (in diesem Szenario kann dieses Profil nicht eingesetzt werden, da immer ein UNP-Radius-Attribut vom ClearPass zurückgegeben wird) auf der Access Point Gruppe vorhanden ist.
-{{ ::wlan-service.png?600 |}}
-Alle anderen Einstellungen können im default gelassen werden.
-Dieser Service wird nun per 'Apply to device' auf die AP-Gruppe ausgerollt.