Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

将 Juniper Mist™ 与 Aruba ClearPass Guest 集成,增强访问控制

按照此过程将 Juniper Mist™ 与 Aruba ClearPass Guest™ 集成,以实现安全的用户身份验证。

™ Juniper Mist 可以与网络访问管理平台(如 Aruba ClearPass Guest)无缝集成,为网络上的访客用户利用广泛的访问控制自定义选项。

Standards-Based Integration with Aruba ClearPass
注意:

有关 Aruba 产品的信息,请转到 Aruba 支持站点上的资源,例如 关于 ClearPass Guest

要将 Juniper Mist™ 与 Aruba ClearPass Guest 集成,请执行以下步骤:

  1. 转到 Aruba ClearPass Policy Manager 的管理控制台,为Mist接入点 (AP) 创建授权变更 (CoA) 配置文件。
    注意:

    有关帮助,请参阅 Aruba 支持站点上的 配置实施配置文件
    1. 找到 [Cisco – Reauthenticate-Session] 配置文件,选择它,然后复制它。
    2. 编辑该配置文件的新副本。将其重命名为 [Mist - Reauthenticate-Session]。
    3. 为 Mist CoA 配置文件配置以下属性:
      表 1: 表 1:

      类型

      名字

      价值

      半径:IETF

      CallingStation-ID

      %{Radius:IETF:Calling-Station:Id}

      半径:Cisco

      Cisco-AVPair

      subscriber:command=重新验证

      半径:IETF

      NAS-IP 地址

      %{半径:IETF:NAS-IP-ADDRESS}

      半径:IETF

      事件时间戳

      %{授权:[时间来源]:现在}
  2. 通过复制默认的自助注册网页模板,在 ClearPass 客户机管理器上创建访客注册页面。如需帮助,请转到 Aruba 支持网站上的资源,例如访问自助注册自定义表单。
    1. 对于自助注册实例,选择“启用自助注册”,然后保存更改。
    2. 启用发起人确认,因为您正在启用赞助访客工作流。
    3. 配置登录延迟,这将使 ClearPass 有时间将 CoA 发送回Mist接入点并重新授权新注册的访客客户端。将登录延迟设置为 10 秒(任何低于此值都可能导致与 ClearPass 行为不一致)。然后保存更改。如需帮助,请转到 Aruba 支持网站上的资源,例如编辑自助注册页面
    4. 按以下步骤配置 NAS 供应商设置:

      • 已启用 - 启用访客登录到网络访问服务器

      • 默认 URL - 输入 http://www.mist.com

      • 覆盖目标 (Override Destination) - 为所有客户端选择强制默认目标

      如需帮助,请转到 Aruba 支持站点上的资源,例如 编辑和启用 NAS 登录属性
  3. 使用 MAC 缓存创建访客访问配置,并在选项卡之间移动以配置设置,如下所示:

    • 名称前缀 - Mist

    • 无线 SSID — 访客访问

    • 控制器 IP 地址 — 添加Mist AP 的管理 IP 子网,以允许它们通过 RADIUS 与 ClearPass 通信。

    • 根据需要设置每种类型的客户机的默认到期时间。

    • 选择“基于筛选器 ID 的强制执行”,并提供来宾角色名称。

    如需帮助,请转到 Aruba 支持站点上的资源,例如 使用 MAC 缓存服务模板进行访客身份验证
  4. 选择“添加服务”,然后会看到添加了新服务。
  5. 编辑现有的实施配置文件和策略,以便集成Mist接入点。如需帮助,请转到 Aruba 支持网站上的资源,例如修改现有实施配置文件
    1. 编辑默认mist强制门户配置文件,然后从属性选项卡:

      • 删除现有的 Filter-id 属性。

      • 添加新的 url-redirect 属性,让 AP 知道需要将客户端重定向到的位置。配置值时,请遵循以下语法:

      • 保存更改。

      此外,请编辑Mist来宾设备配置文件,并删除在向导期间预先创建的最后一个属性:

    2. 编辑 Mist Guest 设备配置文件并删除自动创建的最后一个属性。
    3. 导航到“实施策略”并编辑“Mist MAC 身份验证实施策略”,为任何未知/未注册的客户端发送重定向 URL:

      • 在“强制实施”选项卡中,选择“强制Mist门户配置文件”作为默认配置文件。

      • 保存更改。

  6. 创建新的实施策略,以通过 ClearPass 托管的强制门户处理访客用户身份验证。如需帮助,请转到 Aruba 支持站点上的资源,例如配置实施策略
    1. 将“强制类型”设置为“WEBAUTH”。
    2. 将默认配置文件设置为 [RADIUS_CoA] [Mist – 重新验证会话]。
    3. 单击下一步,然后创建一个规则,以便在用户被身份验证为访客后缓存客户端 MAC。选择在客户机管理器设置中指定的持续时间。
    4. 保存更改。
  7. 创建新的 WebAuth 服务。如需帮助,请转到 Aruba 支持网站上的资源,例如添加服务
    1. 在“服务”选项卡中,配置以下内容:

      • 类型 - 选择 Web 身份验证

      • 更多选项 - 选择 授权

      • 在名称中包含“Mist”的来宾页面上添加另一个要匹配的条件。

      • 单击 “下一步”。

    2. 在“身份验证”选项卡中:

      • 选择[Guest User Repository]作为身份验证源。

      • 单击 “下一步”。

    3. 在“授权”选项卡中:

      • 添加 [Endpoints Repository] 和 [Time Source] 作为其他授权源。

      • 单击 “下一步”。

    4. 在“角色”选项卡中:

      • 选择角色映射策略“使用 MAC 缓存角色映射Mist用户身份验证”。

      • 单击 “下一步”。

    5. 在“实施”选项卡中:

      • 选择您在上一步中创建的强制策略。

      • 点击 保存

  8. 在Juniper Mist门户中,导航到 WLAN 或创建一个新 WLAN。
    注意:

    有关帮助,请参阅配置 WLAN 模板添加 WLAN。
  9. 输入您在 ClearPlass 中配置的相同 SSID。

  10. 在“安全性”部分:

      • 选择 “开放获取”

      • 通过 RADIUS 查找选择 MAC 地址身份验证

      • 选择 使用 Mac 身份验证绕过的访客访问

      • “允许的主机名 ”字段中,输入要将来宾用户重定向到的 ClearPass 服务器的 FQDN。此外,添加在对用户进行身份验证之前需要允许的任何其他 FQDN。

  11. 在 Authentication Servers 部分中,单击 Add Server,输入 ClearPass 服务器的 IP 地址、端口和共享密钥,然后单击复选标记图标以保存更改。
  12. 在“CoA/DM 服务器”部分中,选择“已启用”,单击“添加服务器”,输入 ClearPass 服务器的 IP 地址端口共享密钥,然后单击复选标记以保存更改。
  13. 保存 WLAN 设置。
    注意:

    如果 WLAN 位于 WLAN 模板中,请确保已将模板应用于所需的站点。
  14. 通过查看 Aruba ClearPass 策略管理器中的访问跟踪器来验证集成是否成功。如需帮助,请转到 Aruba 支持网站上的资源,例如实时监控:访问跟踪器。