Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

将瞻博网络 Mist™ 与 Aruba ClearPass Guest 集成,以增强访问控制

总结 按照此过程将瞻博网络 Mist™ 与 Aruba ClearPass Guest™ 集成,以实现安全的用户身份验证。

瞻博网络 Mist™ 可以与网络访问管理平台(如 Aruba ClearPass Guest)无缝集成,以便为网络上的访客用户利用广泛的访问控制自定义选项。

Standards-Based Integration with Aruba ClearPass
注意:

有关 Aruba 产品的信息,请转到 Aruba 支持站点上的资源,例如 关于 ClearPass Guest

要将瞻博网络 Mist™ 与 Aruba ClearPass Guest 集成:

  1. 转到 Aruba ClearPass 策略管理器的管理控制台,为 Mist 接入点 (AP) 创建授权更改 (CoA) 配置文件。
    注意:

    有关帮助,请参阅 Aruba 支持站点上的 配置实施配置文件

    1. 找到 [Cisco – 重新验证会话] 配置文件,选择它,然后复制它。
    2. 编辑该配置文件的新副本。将其重命名为 [Mist - 重新验证会话]。
    3. 为 Mist CoA 配置文件配置以下属性:
      表 1: 表 1:

      类型

      名字

      价值

      半径:IETF

      呼叫站-ID

      %{Radius:IETF:Calling-Station:Id}

      范围:思科

      Cisco-AVPair

      订户:命令=重新验证

      半径:IETF

      NAS-IPAddress

      %{Radius:IETF:NAS-IP-ADDRESS}

      半径:IETF

      事件时间戳

      %{授权:[时间源]:现在}

  2. 通过复制默认的自助注册网页模板,在 ClearPass 访客管理器上创建访客注册页面。如需帮助,请转到 Aruba 支持站点上的资源,例如访问自助注册自定义表单
    1. 对于自助注册实例,请选择“启用自助注册”,然后保存更改。
    2. 启用发起人确认,因为您正在启用赞助访客工作流。
    3. 配置登录延迟,这将使 ClearPass 有时间将 CoA 发送回 Mist AP 并重新授权新注册的访客客户端。将登录延迟设置为 10 秒(任何较低的延迟都可能导致与 ClearPass 的行为不一致)。然后保存更改。如需帮助,请转到 Aruba 支持站点上的资源,例如编辑自助注册页面
    4. 按如下方式配置 NAS 供应商设置:
      • 已启用 - 启用对网络访问服务器的访客登录

      • 默认 URL - 输入 http://www.mist.com

      • 覆盖目标 - 选择 为所有客户端强制默认目标

      如需帮助,请转至 Aruba 支持站点上的资源,例如 编辑和启用 NAS 登录属性
  3. 使用 MAC 缓存创建访客访问配置,并在选项卡中移动以按如下所示配置设置:
    • 名称前缀 - Mist

    • 无线 SSID — 访客访问

    • 控制器 IP 地址 — 添加 Mist 接入点的管理 IP 子网,以允许它们通过 RADIUS 与 ClearPass 通信。

    • 根据需要为每种类型的来宾设置默认过期时间。

    • 选择“基于筛选器 ID 的实施”并提供来宾角色名称。

    如需帮助,请转到 Aruba 支持站点上的资源,例如 使用 MAC 缓存服务模板进行来宾身份验证
  4. 选择“添加服务”,然后你将看到添加了新服务。
  5. 编辑现有实施配置文件和策略以集成 Mist AP。如需帮助,请转到 Aruba 支持站点上的资源,例如修改现有实施配置文件
    1. 编辑默认的 Mist 强制网络门户配置文件,然后从属性选项卡中:
      • 删除现有的过滤器 ID 属性。

      • 添加新的 url 重定向属性,让 AP 知道客户端需要重定向到的位置。配置值时遵循以下语法:

      • 保存更改。

      此外,编辑 Mist 访客设备配置文件并删除向导期间预先创建的最后一个属性:

    2. 编辑 Mist 访客设备配置文件并删除自动创建的最后一个属性。
    3. 导航到实施策略并编辑 Mist MAC 身份验证实施策略,为任何未知/未注册的客户端发送重定向 URL:
      • 在实施选项卡中,选择 Mist 强制网络门户配置文件作为默认配置文件。

      • 保存更改。

  6. 创建新的实施策略,以通过 ClearPass 托管的强制门户处理访客用户身份验证。如需帮助,请转到 Aruba 支持站点上的资源,例如配置实施策略
    1. 将强制类型设置为 WEBAUTH。
    2. 将默认配置文件设置为 [RADIUS_CoA] [Mist – 重新验证会话]。
    3. 单击下一步,然后创建一个规则,以便在用户被验证为访客后缓存客户端 MAC。选择在访客管理器设置中指定的持续时间。
    4. 保存更改。
  7. 创建新的 WebAuth 服务。如需帮助,请转到 Aruba 支持站点上的资源,例如添加服务
    1. 在“服务”选项卡中,配置以下内容:
      • 类型 - 选择 Web 身份验证

      • 更多选项 - 选择 授权

      • 在名称中包含“Mist”的访客页面上添加要匹配的其他条件。

      • 单击 下一步

    2. 在“身份验证”选项卡中:
      • 选择 [访客用户存储库] 作为身份验证源。

      • 单击 下一步

    3. 在“授权”选项卡中:
      • 添加 [端点存储库] 和 [时间源] 作为其他授权源。

      • 单击 下一步

    4. 在“角色”选项卡中:
      • 选择角色映射策略“使用 MAC 缓存角色映射的 Mist 用户身份验证”。

      • 单击 下一步

    5. 在“实施”选项卡中:
      • 选择在上一步中创建的实施策略。

      • 单击 保存

  8. 在瞻博网络 Mist 门户中,导航到 WLAN 或创建一个新门户。
    注意:

    有关帮助,请参阅 配置 WLAN 模板将 WLAN 添加到站点或 WLAN 模板

  9. 输入您在 ClearPlass 中配置的相同 SSID。

  10. 在“安全性”部分中:
      • 选择 “开放访问”。

      • 选择 通过 RADIUS 查找进行 MAC 地址身份验证

      • 选择 使用 Mac 身份验证绕过的访客访问

      • 在“ 允许的主机名 ”字段中,输入来宾用户将被重定向到的 ClearPass 服务器的 FQDN。此外,添加在对用户进行身份验证之前需要允许的任何其他 FQDN。

  11. 在“身份验证服务器”部分中,单击“添加服务器”,输入 ClearPass 服务器的 IP 地址、端口和共享密钥,然后单击复选标记图标以保存更改。
  12. 在“CoA/DM 服务器”部分中,选择“已启用”,单击“添加服务器”,输入 ClearPass 服务器的 IP 地址端口共享密钥,然后单击复选标记以保存更改。
  13. 保存 WLAN 设置。
    注意:

    如果 WLAN 位于 WLAN 模板中,请确保已将模板应用到所需的站点。

  14. 通过查看 Aruba ClearPass 策略管理器中的访问跟踪器来验证集成是否成功。如需帮助,请转到 Aruba 支持站点上的资源,例如实时监控:访问跟踪器。