Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

为安全设备配置 Aruba ClearPass

使用 Aruba Clear Pass 页面将 Aruba ClearPass 配置为集成的 ClearPass 身份验证和实施功能的身份验证源。SRX 系列设备和 Aruba ClearPass 协作,通过在用户身份级别实施安全性并控制用户对互联网的访问来保护您的网络资源。

ClearPass 策略管理器 (CPPM) 可以跨有线、无线和 VPN 基础结构对用户进行身份验证。集成的 ClearPass 功能允许 CPPM 和 SRX 系列设备在它们一起部署的多个环境中进行协作。

要配置 Aruba ClearPass,请执行以下操作:

  1. 选择 “设备 ”> “安全设备”。

    此时将显示“安全密码器”页面。

  2. 选择要修改其配置的设备。
  3. 从“更多”或右键单击菜单中,选择 “配置 ”> “修改配置”。

    此时将显示“修改配置”页。

  4. 单击左侧导航菜单中的 ArubaClearPass

    将显示“修改配置”页面上的“Aruba Clear Pass”部分。

  5. 根据 表 1 中提供的准则指定配置 Aruba ClearPass 的参数。
  6. 修改配置后,您可以取消更改、保存更改、预览更改或保存更改并在设备上部署配置。请参阅 修改安全设备的配置
表 1:Aruba Clear Pass 页面上的字段

领域

描述

名字

从列表中选择 Aruba ClearPass 的名称。

身份验证条目超时

设置超时间隔,在此间隔之后,ClearPass 身份验证表中的空闲条目将过期。

超时间隔从将用户身份验证条目添加到 ClearPass 身份验证表时开始。如果指定值为 0,则条目将永不过期。范围为 10 到 1440 分钟。

无效的身份验证条目超时

输入到期时间(以分钟为单位),以应用于 Windows 活动目录或 Aruba ClearPass 身份验证源的 SRX 系列身份验证表中的无效身份验证条目。范围为 0 到 1440 分钟。

无效的身份验证条目超时设置不同于常规身份验证条目超时设置。它允许您防止身份验证表中无效的用户身份验证条目在验证用户之前过期。

无用户查询

启用此选项可关闭用户查询功能,而无需删除用户查询配置。

用户查询

启用此选项可允许 SRX 系列设备向 ClearPass Web 服务器查询单个用户的身份验证和身份信息,而该用户的信息未由 ClearPass 发布到 SRX 系列设备。

客户端 ID

输入 SRX 系列设备获取集成 ClearPass 身份验证和强制用户查询功能的访问令牌所需的客户端 ID。范围为 1 到 64。

如果配置了用户查询功能,则当 SRX 系列设备未通过 SRX 系列 Web API 守护程序 (webapi) 从 CPPM 接收此信息时,将允许用户查询功能,以获取有关单个用户的身份验证和身份信息。

CA 证书

指定 SRX 系列设备用于验证用于用户查询功能的 SSL 连接的 Clearpass 服务器的证书的证书文件。作为 ClearPass 管理员,您必须从 CPPM 导出服务器的证书并将其导入到 SRX 系列设备。稍后,您必须在 SRX 系列设备上配置 CA 证书路径和证书文件名。例如, /var/tmp/RADIUSServerCertificate.crt.

客户端密钥

指定与客户端 ID 一起使用的客户端密钥,SRX 系列设备需要该客户端 ID 才能获取集成 ClearPass 身份验证和强制用户查询功能的访问令牌。客户端密钥必须与 CPPM 上配置的客户端密钥一致。范围为 1 到 128。

延迟查询时间

输入 SRX 系列设备在向 Aruba ClearPass 策略管理器 (CPPM) 发送查询以获取单个用户的身份验证和身份信息之前要延迟的时间量。范围:0 到 60 秒。

延迟超时到期后,SRX 系列设备将查询发送到 CPPM,并在路由引擎身份验证表中为用户创建一个挂起条目。在此期间,任何到达的流量都与您可以配置其流量操作的默认策略匹配。

查询接口

输入查询 API 以指定 SRX 系列设备用于查询 ClearPass 策略管理器 (CPPM) Web 服务器以获取单个用户的身份验证和身份信息的 URL 的路径。

请考虑以下示例 query-apiapi/v1/insight/endpoint/ip/$IP$

SRX 系列设备通过将查询 api 字符串与连接方法 (HTTPS) 和 CPPM 网络服务器 IP 地址 ({$server}) 相结合,为用户查询请求生成完整的 URL。

https://{$server}/api/v1/insight/endpoint/ip/$IP$

在此示例中,SRX 系列设备将变量替换为以下值,从而为单个用户发出特定的 URL 请求: https://203.0.113.76/api/v1/insight/endpoint/ip/192.0.2.98

令牌 API

输入用于生成用于获取访问令牌的 URL 的令牌 API。令牌 API 与连接方法和 ClearPass Web 服务器的 IP 地址相结合,以生成用于获取访问令牌的完整 URL。

例如,如果令牌 API 是 oauth,连接方法是 HTTPS,并且 ClearPass Web 服务器的 IP 地址是 192.0.2.199,则用于获取访问令牌的完整 URL 将是 https://192.0.2.199/api/oauth。这是必需参数。没有默认值。

Web Server

地址

输入 ClearPass Web 服务器的 IPv4 地址以与 SRX 系列设备通信。

SRX 系列设备从配置了地址的 ClearPass Web 服务器请求单个用户的用户身份验证和身份信息。如果配置用户查询功能,则 SRX 系列设备在未通过 Web API POST 请求从 ClearPass 策略管理器收到此信息时,可以获取该信息的此信息。

服务器名称

输入 ClearPass Web 服务器的服务器名称以与 SRX 系列设备通信。

港口

选择 SRX 系列设备的 TCP 端口,以用于由 ClearPass 策略管理器 (CPPM) 发起的传入 HTTP 或 HTTPS 连接请求。

连接方式

选择用于 SRX 系列设备连接到 ClearPass 策略管理器 (CPPM) 以用于用户查询请求的应用程序协议。默认值为 HTTPS。

将连接协议标识为标识 CPPM 服务器的配置的一部分。用户查询功能允许 SRX 系列设备向 CPPM 请求单个用户的用户身份验证和身份信息。

  • HTTP — CPPM 用于连接到 SRX 系列设备的协议。

  • HTTPS — CPPM 用于连接到 SRX 系列设备的协议的安全版本。

相关文档