Konfigurieren von Aruba ClearPass
Erfahren Sie, wie Sie die Firewall der SRX-Serie so konfigurieren, dass sie Sicherheitsrichtlinien in Aruba ClearPass einschließt.
Beispiel: Durchsetzung von Sicherheitsrichtlinien mit Aruba ClearPass
In diesem Beispiel wird gezeigt, wie Sie die Sicherheit konfigurieren, um Ihre Ressourcen zu schützen und den Zugriff auf das Internet mithilfe der integrierten ClearPass-Authentifizierungs- und Durchsetzungsfunktion der Firewall der SRX-Serie zu steuern, die sich auf den Aruba ClearPass Policy Manager als Authentifizierungsquelle stützt. Mit der integrierten ClearPass-Funktion der SRX-Serie können Sie Sicherheitsrichtlinien konfigurieren, die den Zugriff auf Unternehmensressourcen und das Internet steuern, indem Benutzer anhand des Benutzernamens, des Gruppennamens oder des Namens einer Rolle identifiziert werden, die eine Gruppe von Benutzern und einen Gerätetyp miteinander verbindet.
Heutige Netzwerkumgebungen sind anfälliger für Angriffe verschiedener Art, da sie mehr oder weniger den Zugriff überall, jederzeit und auf jedem Gerät unterstützen und es einem Benutzer ermöglichen, mehrere gleichzeitig mit dem Netzwerk verbundene Geräte zu verwenden. Da Sie den Benutzer anhand des Benutzernamens identifizieren können, verkleinert die integrierte ClearPass-Authentifizierungs- und -Durchsetzungsfunktion die Sicherheitslücke, die durch diese Funktionen entsteht.
Weitere Informationen zur Übertragung von Benutzerauthentifizierungs- und Identitätsinformationen vom CPPM an die Firewall der SRX-Serie finden Sie in den folgenden Themen:
Das Beispiel deckt die folgenden Prozesse ab:
Wie Sie den Zugriff auf Benutzerebene basierend auf dem Benutzernamen oder dem Gruppennamen steuern, nicht auf der IP-Adresse des Geräts
Sie können den Parameter source-identity in einer Sicherheitsrichtlinie verwenden, um den Namen eines Benutzers oder den Namen einer Gruppe von Benutzern anzugeben, deren Authentifizierung vom CPPM bereitgestellt wird. Die Richtlinie wird auf den Datenverkehr angewendet, der von den Benutzern generiert wird, wenn sie versuchen, unabhängig vom verwendeten Gerät auf eine geschützte Ressource oder das Internet zuzugreifen. Die Zugriffskontrolle ist an den Namen des Benutzers gebunden und nicht direkt an die IP-Adresse des Geräts des Benutzers.
Sie können für einen einzelnen Benutzer verschiedene Sicherheitsrichtlinien konfigurieren, die unterschiedliche Aktionen angeben, die sich durch die angegebenen Zonen und Zieladressen oder eine Gruppe, der der Benutzer angehört, unterscheiden.
Anzeige und Interpretation des Inhalts der ClearPass-Authentifizierungstabelle.
Die Firewall der SRX-Serie erstellt die ClearPass-Authentifizierungstabelle mit den Benutzerauthentifizierungs- und Identitätsinformationen, die sie vom CPPM empfängt. Das Gerät bezieht sich auf die Tabelle, um einen Benutzer zu authentifizieren, der Zugriff auf eine Ressource anfordert.
Der Inhalt der ClearPass-Authentifizierungstabelle ist dynamisch. Sie werden geändert, um Benutzeraktivitäten als Reaktion auf verschiedene Ereignisse und auch in Bezug auf Sicherheitsrichtlinien, die sich auf Gruppen beziehen, widerzuspiegeln.
Wenn sich z. B. ein Benutzer vom Netzwerk oder vom Netzwerk abmeldet, wird die ClearPass-Authentifizierungstabelle geändert, wie dies der Fall ist, wenn ein Benutzer aus einer Gruppe entfernt wird oder eine Sicherheitsrichtlinie, auf die verwiesen wird, die eine Gruppe angibt, der der Benutzer angehört, gelöscht wird. Im letzteren Fall wird der Benutzer im Benutzereintrag nicht mehr als zu dieser Gruppe gehörend angezeigt.
In diesem Beispiel wird der Inhalt der ClearPass-Authentifizierungstabelle angezeigt, um Änderungen darzustellen, die aufgrund von zwei Ereignissen vorgenommen wurden. Die Inhalte für die Benutzer werden angezeigt:
Bevor und nachdem sich ein bestimmter Benutzer vom Netzwerk abmeldet
Vor und nach dem Löschen einer Sicherheitsrichtlinie, auf die verwiesen wird,
Der Eintrag für den Benutzer, der zu der Gruppe gehörte, auf die die Sicherheitsrichtlinie verweist, wird vor und nach dem Löschen der Richtlinie angezeigt.
Anforderungen
In diesem Abschnitt werden die Software- und Hardwareanforderungen für die Topologie für dieses Beispiel definiert. Siehe Abbildung 1 für den Topologieentwurf.
Die Hardware- und Softwarekomponenten sind:
Aruba ClearPass. Der ClearPass-Richtlinien-Manager (CPPM) ist so konfiguriert, dass er seine lokale Authentifizierungsquelle zur Authentifizierung von Benutzern verwendet.
Es wird davon ausgegangen, dass das CPPM so konfiguriert ist, dass es der Firewall der SRX-Serie Benutzerauthentifizierungs- und Identitätsinformationen zur Verfügung stellt, einschließlich des Benutzernamens, einer Liste der Namen aller Gruppen, denen der Benutzer angehört, der IP-Adressen der verwendeten Geräte und des Gerätestatustokens.
Firewall der SRX-Serie mit Junos OS und integrierter ClearPass-Funktion.
Eine Serverfarm, die aus sechs Servern besteht, die sich alle in der Serverzone befinden:
marketing-server-geschützt (203.0.113.23 )
Personal-Server (203.0.113.25 )
accounting-server (203.0.113.72)
Öffentlicher Server (203.0.113.62)
Unternehmensserver (203.0.113.71)
sales-server (203.0.113.81)
AC 7010 Aruba Cloud Services Controller mit ArubaOS
Aruba AP Wireless Access Controller mit ArubaOS
Der Aruba AP ist mit dem AC7010 verbunden.
Wireless-Benutzer verbinden sich über den Aruba AP mit dem CPPM.
Der Switch EX4300 von Juniper Networks wird als kabelgebundenes 802.1-Zugriffsgerät verwendet.
Benutzer mit kabelgebundenen Netzwerken verbinden sich über den Switch EX4300 mit dem CPPM.
Sechs Endbenutzersysteme:
Drei mit dem Netzwerk verbundene kabelgebundene PCs, auf denen Microsoft OS ausgeführt wird
Zwei BYOD-Geräte, die über das Aruba AP-Zugangsgerät auf das Netzwerk zugreifen
Ein drahtloser Laptop mit Microsoft-Betriebssystem
Überblick
In seiner Funktion als Authentifizierungsquelle für die integrierte ClearPass-Funktion sendet das CPPM Benutzerauthentifizierungs- und Identitätsinformationen an die Firewall der SRX-Serie. Sobald er diese Informationen erhält, verarbeitet der UserID-Daemon der SRX-Serie sie und generiert Einträge für die authentifizierten Benutzer in der Routing-Engine-Authentifizierungstabelle und synchronisiert diese Informationen dann mit der ClearPass-Authentifizierungstabelle auf der Seite der Packet Forwarding Engine.
Die Firewall der SRX-Serie benötigt die Benutzerauthentifizierungs- und Identitätsinformationen, um zu überprüfen, ob ein Benutzer authentifiziert ist, wenn der Benutzer eine Zugriffsanfrage stellt und der vom Gerät des Benutzers generierte Datenverkehr bei der Firewall der SRX-Serie eintrifft. Wenn eine Sicherheitsrichtlinie vorhanden ist, die im source-identity-Parameter den Benutzernamen oder den Namen einer Gruppe angibt, der der Benutzer angehört, durchsucht die Firewall der SRX-Serie den Inhalt ihrer ClearPass-Authentifizierungstabelle nach einem Eintrag für diesen Benutzer.
Wenn in der ClearPass-Authentifizierungstabelle kein Eintrag für den Benutzer gefunden wird, kann die Firewall der SRX-Serie die anderen Authentifizierungstabellen durchsuchen, sofern Sie eine Suchreihenfolge konfiguriert haben, die sie einschließt. In Tabelle 1 finden Sie Informationen zur Suchreihenfolge der Authentifizierungstabelle.
Mit der integrierten ClearPass-Funktion können Sie identitätsbezogene Sicherheitsrichtlinien erstellen, die so konfiguriert sind, dass sie den von Benutzern ausgegebenen Datenverkehr basierend auf ihrem Benutzernamen oder dem Namen einer Gruppe, der sie angehören, abgleichen.
Rollenzuordnungen werden auf dem CPPM konfiguriert, nicht auf der Firewall der SRX-Serie.
Beispielsweise kann eine Rollenzuordnung für Gerätetypen Benutzeridentitäten mit unternehmenseigenen Computern verknüpfen. Sie können diese Rolle als Gruppe in einer Sicherheitsrichtlinie angeben, die so konfiguriert ist, dass sie für alle Benutzer gilt, die der Regel zugeordnet sind. In diesem Fall gelten die von CPPM für die Regel festgelegten Bedingungen – die Verwendung eines unternehmenseigenen Computers – für alle Benutzer, die der Regel zugeordnet sind. Die Firewall der SRX-Serie berücksichtigt die Bedingungen nicht, sondern akzeptiert die Regel aus dem CPPM.
Die folgenden Konfigurationen in diesem Beispiel decken Sicherheitsrichtlinien ab, die basierend auf dem verwendeten Gerätetyp gelten, wie vom CPPM über Regelzuordnungen definiert. Es wird davon ausgegangen, dass CPPM die folgenden zugeordneten Regeln, die in Sicherheitsrichtlinien als Gruppen verwendet werden, an die Firewall der SRX-Serie gesendet hat:
marketing-zugang-für-pcs-limited-group
Ordnet jxchan dem Gerätetyp PC zu.
Die Richtlinie, die marketing-access-for-pcs-limited-group im Feld source-identity angibt, erlaubt jxchan und anderen Benutzern, die ihr zugeordnet sind, den Zugriff auf den marketing-server-geschützten Server über ihren PC, unabhängig davon, ob er sich im Besitz des Unternehmens befindet oder nicht.
Buchhaltungs-grp und-Unternehmen-Gerät
Ordnet Benutzer, die zu Buchhaltungsgruppen gehören, mithilfe von Unternehmensgeräten zu. Das CPPM sendet die Rolle accounting-grp-and-company-device an die Firewall der SRX-Serie. Die Zuordnung erfolgt auf dem CPPM durch Rollenzuordnungsregeln.
Die Richtlinie, die accounting-grp-and-company-device im Feld "Quellidentität" angibt, ermöglicht Benutzern, die der Regel zugeordnet sind, den Zugriff auf geschützte Ressourcen auf dem Accounting-Server. Die Konzernbuchhaltung-grp wird auf die Regel abgebildet. Daher gilt die zugeordnete Regel für die Mitglieder von accounting-grp.
Der Benutzer viki2 gehört zur Datei accounting-grp. Wenn alle Bedingungen zutreffen, d. h. wenn viki2 ein unternehmenseigenes Gerät verwendet und die Richtlinie den Zugriff zulässt, wird ihr der Zugriff auf die Ressourcen auf dem accounting-server gewährt. Denken Sie jedoch daran, dass die Firewall der SRX-Serie die Regel nicht analysiert. Stattdessen wird es auf alle Benutzer angewendet, die ihm vom CPPM zugeordnet werden.
Gastgerät-BYOD
Ordnet die Gastgruppe dem Gerätetyp "byod" zu, d. h. jedem benutzereigenen Gerät, das dem Netzwerk beitritt.
Die Richtlinie, die guest-device-byod im Feld "Quellidentität" angibt, verweigert Benutzern, die der Regel zugeordnet sind, den Zugriff auf alle Server in der Serverzone, wenn sie Smartphones oder andere benutzereigene Geräte verwenden. Der Benutzername guest2 wird von CPPM dieser Regel zugeordnet.
In allen Fällen können Sie davon ausgehen, dass die folgenden Bedingungen erfüllt sind, wenn den Benutzern der Zugriff gemäß den Bedingungen der Sicherheitsrichtlinie gestattet oder verweigert wird:
Das CPPM hat die korrekten Authentifizierungsinformationen für die Benutzer und Gruppen an die Firewall der SRX-Serie gesendet.
Die Firewall der SRX-Serie verarbeitete die authentifizierten Benutzerinformationen korrekt und generierte Einträge für die Benutzer und Gruppen in ihrer ClearPass-Authentifizierungstabelle.
Beginnend mit Junos OS Version 15.1X49-D130 unterstützt die Firewall der SRX-Serie die Verwendung von IPv6-Adressen, die Quellidentitäten in Sicherheitsrichtlinien zugeordnet sind. Wenn ein IPv4- oder IPv6-Eintrag vorhanden ist, werden Richtlinien, die diesem Eintrag entsprechen, auf den Datenverkehr angewendet, und der Zugriff wird zugelassen oder verweigert.
Tabelle 1 fasst die Benutzer, ihre Gruppen und die Zonen, zu denen sie gehören, zusammen. Alle Benutzer gehören zur Standarddomäne GLOBAL.
Benutzer |
Gruppe |
Zone |
|---|---|---|
Abe (abew1) |
|
Marketing-Zone |
John (jxchan) |
|
Marketing-Zone |
Lin (lchen1) |
|
Personal-Zone |
Viki (viki2) |
|
Buchhaltungszone |
Gast1 |
|
Öffentliche Zone |
Gast2 |
|
Öffentliche Zone |
Topologie
Abbildung 1 zeigt die Topologie für dieses Beispiel.
Konfiguration
In diesem Abschnitt wird beschrieben, wie Sie die Firewall der SRX-Serie so konfigurieren, dass sie Sicherheitsrichtlinien einschließt, die dem Datenverkehr entsprechen, der von Benutzern ausgegeben wird, die durch das CPPM authentifiziert wurden.
- CLI Schnellkonfiguration
- Konfigurieren von Schnittstellen, Zonen und eines Adressbuchs
- Konfigurieren identitätsbezogener Sicherheitsrichtlinien zur Steuerung des Benutzerzugriffs auf Unternehmensressourcen
- Befund
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Anweisungen, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Anweisungen, fügen Sie sie auf der [edit] Hierarchieebene in die CLI ein, und wechseln Sie commit dann aus dem Konfigurationsmodus.
set interfaces ge-0/0/3 vlan-tagging set interfaces ge-0/0/3.0 vlan-id 300 family inet address 203.0.113.45/24 set interfaces ge-0/0/3.1 vlan-id 310 family inet address 192.0.2.18/24 set interfaces ge-0/0/3.2 vlan-id 320 family inet address 192.0.2.14/24 set interfaces ge-0/0/4 vlan-tagging set interfaces ge-0/0/4.0 vlan-id 400 family inet address 192.0.2.16/24 set interfaces ge-0/0/4.1 vlan-id 410 family inet address 192.0.2.19/24 set security zones security-zone marketing-zone interfaces ge-0/0/3.0 host-inbound-traffic system-services all set security zones security-zone marketing-zone interfaces ge-0/0/3.0 host-inbound-traffic protocols all set security zones security-zone accounting-zone interfaces ge-0/0/3.1 host-inbound-traffic system-services all set security zones security-zone accounting-zone interfaces ge-0/0/3.1 host-inbound-traffic protocols all set security zones security-zone human-resources-zone interfaces ge-0/0/3.2 host-inbound-traffic system-services all set security zones security-zone human-resources-zone interfaces ge-0/0/3.2 host-inbound-traffic protocols all set security zones security-zone public-zone interfaces ge-0/0/4.0 host-inbound-traffic system-services all set security zones security-zone public-zone interfaces ge-0/0/4.0 host-inbound-traffic protocols all set security zones security-zone servers-zone interfaces ge-0/0/4.1 host-inbound-traffic system-services all set security zones security-zone servers-zone interfaces ge-0/0/4.1 host-inbound-traffic protocols all set security address-book servers-zone-addresses address marketing-server-protected 203.0.113.23 set security address-book servers-zone-addresses address human-resources-server 203.0.113.25 set security address-book servers-zone-addresses address accounting-server 203.0.113.72 set security address-book servers-zone-addresses address corporate-server 203.0.113.71 set security address-book servers-zone-addresses address public-server 203.0.113.91 set security address-book servers-zone-addresses attach zone servers-zone set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p1 match source-address any destination address any set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p1 match application any set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p1 match source-identity “global\marketing-access-for-pcs-limited-group” set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p1 then permit set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p2 match source-address any destination address marketing-zone-protected set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p2 match application any set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p2 match source-identity “global\abew1” set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p2 then permit set security policies from-zone accounting-zone to-zone servers-zone policy acct-cp-device match source-address any destination-address accounting-server set security policies from-zone accounting-zone to-zone servers-zone policy acct-cp-device match application any set security policies from-zone accounting-zone to-zone servers-zone policy acct-cp-device match source-identity “global\accounting-grp-and-company-device” set security policies from-zone accounting-zone to-zone servers-zone policy acct-cp-device then permit set security policies from-zone human-resources-zone to-zone servers-zone policy human-resources-p1 match source-address any destination-address corporate-server set security policies from-zone human-resources-zone to-zone servers-zone policy human-resources-p1 match application any set security policies from-zone human-resources-zone to-zone servers-zone policy human-resources-p1 match source-identity “global\corporate-limited” set security policies from-zone human-resources-zone to servers-zone policy human-resources-p1 then permit set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p0 match source-address any destination-address corporate-server set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p0 match application any set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p0 match source-identity “global\marketing-access-limited-grp” set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p0 then permit set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p3 match source-address any destination-address human-resources-server set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p3 match application any set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p3 match source-identity “global\sales-limited-group” set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p3 then permit set security policies from-zone public-zone to-zone servers-zone policy guest-allow-access match source-address any destination address public-server set security policies from-zone public-zone to-zone servers-zone policy guest-allow-access match application any set security policies from-zone public-zone to-zone servers-zone policy guest-allow-access match source-identity “global\guest” set security policies from-zone public-zone to-zone servers-zone policy guest-allow-access then permit set security policies from-zone public-zone to-zone servers-zone policy guest-deny-access match source-address any destination-address any set security policies from-zone public-zone to-zone servers-zone policy guest-deny-access match application any set security policies from-zone public-zone to-zone servers-zone policy guest-deny-access match source-identity “global\guest-device-byod” set security policies from-zone public-zone to-zone servers-zone policy guest-deny-access then deny
Konfigurieren von Schnittstellen, Zonen und eines Adressbuchs
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
Konfigurieren Sie die folgenden Schnittstellen, und weisen Sie sie Zonen zu:
GE-0/0/3.0 > Marketing-Zone
GE-0/0/3.1 > Personalzone
GE-0/0/3.2> Abrechnungszone
GE-0/0/4.0 > öffentliche Zone
GE-0/0/4.1 > Server-Zone
Da in diesem Beispiel logische Schnittstellen verwendet werden, müssen Sie das VLAN-Tagging konfigurieren.
-
Konfigurieren von Schnittstellen für die Firewall der SRX-Serie:
[edit interfaces] set ge-0/0/3 vlan-tagging set ge-0/0/3.0 vlan-id 300 family inet address 203.0.113.45/24 set ge-0/0/3.1 vlan-id 310 family inet address 192.0.2.18/24 set ge-0/0/3.2 vlan-id 320 family inet address 192.0.2.14/24 set ge-0/0/4 vlan-tagging set ge-0/0/4.0 vlan-id 400 family inet address 192.0.2.16/24 set ge-0/0/4.1 vlan-id 410 family inet address 192.0.2.19/24
Konfigurieren von Zonen.
[edit security zones] user@host#set security-zone marketing-zone interfaces ge-0/0/3.0 host-inbound-traffic system-services all user@host#set security-zone marketing-zone interfaces ge-0/0/3.0 host-inbound-traffic protocols all user@host#set security-zone accounting-zone interfaces ge-0/0/3.1 host-inbound-traffic system-services all user@host#set security-zone accounting-zone interfaces ge-0/0/3.1 host-inbound-traffic protocols all user@host#set security-zone human-resources-zone interfaces ge-0/0/3.2 host-inbound-traffic system-services all user@host#set security-zone human-resources-zone interfaces ge-0/0/3.2 host-inbound-traffic protocols all user@host#set security-zone public-zone interfaces ge-0/0/4.0 host-inbound-traffic system-services all user@host#set security-zone public-zone interfaces ge-0/0/4.0 host-inbound-traffic protocols all user@host#set security-zone servers-zone interfaces ge-0/0/4.1 host-inbound-traffic system-services all user@host#set security-zone servers-zone interfaces ge-0/0/4.1 host-inbound-traffic protocols all
Konfigurieren Sie ein Adressbuch mit den IP-Adressen der Server, die in Sicherheitsrichtlinien als Zieladressen verwendet werden sollen.
[edit security address-book servers-zone-addresses] user@host# set address marketing-server-protected 203.0.113.23 user@host# set address human-resources-server 203.0.113.25 user@host# set address accounting-server 203.0.113.72 user@host# set address corporate-server 203.0.113.71 user@host# set address public-server 203.0.113.91
Fügen Sie das Adressbuch servers-zone-addresses an servers-zone an.
[edit security address-book] user@host# set servers-zone-addresses attach zone servers-zone
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration für Schnittstellen, indem Sie den show interfaces Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
ge-0/0/3 {
unit 0 {
vlan-id 300;
family inet {
address 203.0.113.45/24;
}
}
unit 1 {
vlan-id 310;
family inet {
address 192.0.2.18/24;
}
}
unit 2 {
vlan-id 320;
family inet {
address 192.0.2.14/24;
}
}
}
ge-0/0/4 {
vlan-tagging;
unit 0 {
vlan-id 400;
family inet {
address 192.0.2.16/24;
}
}
unit 1 {
vlan-id 410;
family inet {
address 192.0.2.19/24;
}
}
}
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration für Zonen, indem Sie den show security zones Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
security-zone human-resources-zone {
interfaces {
ge-0/0/3.2 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
}
}
security-zone accounting-zone {
interfaces {
ge-0/0/3.1 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
}
}
security-zone marketing-zone {
interfaces {
ge-0/0/3.0 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
}
}
security-zone servers-zone {
interfaces {
ge-0/0/4.1 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
}
}
security-zone public-zone {
interfaces {
ge-0/0/4.0 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
}
}
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration für das Adressbuch, indem Sie den show security address-book Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
servers-zone-addresses {
address marketing-zone-protected 203.0.113.23 /32;
address human-resources-server 203.0.113.25 /32;
address accounting-server 203.0.113.72/32;
address corporate-server 203.0.113.71/32;
address public-server 203.0.113.91/32;
attach {
zone servers-zone;
}
}
Konfigurieren identitätsbezogener Sicherheitsrichtlinien zur Steuerung des Benutzerzugriffs auf Unternehmensressourcen
Schritt-für-Schritt-Anleitung
Diese Aufgabe umfasst die Konfiguration von Sicherheitsrichtlinien, die für den Zugriff eines Benutzers auf Ressourcen auf der Grundlage des Benutzernamens oder Gruppennamens und nicht der IP-Adresse des verwendeten Geräts gelten.
Beachten Sie, dass alle Benutzer zur Standarddomäne GLOBAL gehören.
Konfigurieren Sie eine Sicherheitsrichtlinie, die marketing-access-for-pcs-limited-group als Quellidentität angibt. Es ermöglicht dem Benutzer jxchan, der zu dieser Gruppe gehört, den Zugriff auf jeden der Server in den Server-Zonen, wenn er einen PC verwendet, unabhängig davon, ob es sich um ein persönliches Gerät oder ein firmeneigenes Gerät handelt. Der Benutzername jxchan wird vom CPPM der Regel marketing-access-for-pcs-limited-group zugeordnet.
[edit security policies] user@host# set from-zone marketing-zone to-zone servers-zone policy marketing-p1 match source-address any destination address any user@host# set from-zone marketing-zone to-zone servers-zone policy marketing-p1 match application any user@host# set from-zone marketing-zone to-zone servers-zone policy marketing-p1 match source-identity “global\marketing-access-for-pcs-limited-group” user@hoset from-zone marketing-zone to-zone servers-zone policy marketing-p1 then permit
Konfigurieren Sie eine Sicherheitsrichtlinie, die dem Benutzer abew1 den Zugriff auf den marketing-zone-protected-Server (IP-Adresse 203.0.113.23 ) in der Server-Zone unabhängig vom von ihm verwendeten Gerät ermöglicht.
[edit security policies] user@host# set from-zone marketing-zone to-zone servers-zone policy marketing-p2 match source-address any destination address marketing-zone-protected user@host# set from-zone marketing-zone to-zone servers-zone policy marketing-p2 match application any user@host# set from-zone marketing-zone to-zone servers-zone policy marketing-p2 match source-identity “global\abew1” user@host# set from-zone marketing-zone to-zone servers-zone policy marketing-p2 then permit
Konfigurieren Sie eine Sicherheitsrichtlinie, die dem Benutzer viki2 den Zugriff auf den Accounting-Server (IP-Adresse 203.0.113.72) in der Server-Zone erlaubt, wenn er ein firmeneigenes Gerät verwendet. Der Benutzer viki2 gehört zu accounting-grp, das durch das CPPM auf die Company-owned-device-Regel (accounting-grp-and-company-device) abgebildet wird.
[edit security policies] user@host# set from-zone accounting-zone to-zone servers-zone policy acct-cp-device match source-address any destination-address accounting-server user@host# set from-zone accounting-zone to-zone servers-zone policy acct-cp-device match application any user@host# set from-zone accounting-zone to-zone servers-zone policy acct-cp-device match source-identity “global\accounting-grp-and-company-device” user@host# set from-zone accounting-zone to-zone servers-zone policy acct-cp-device then permit
Konfigurieren Sie eine Sicherheitsrichtlinie, die Benutzern, die zur eingeschränkten Unternehmensgruppe gehören, eingeschränkten Zugriff auf den Unternehmensserverserver (IP-Adresse 203.0.113.71) in der Serverzone gewährt, wenn sie eine Anforderung aus der Personalzone initiieren.
Wenn die Quelladresse als "beliebig" angegeben wird, gilt die Richtlinie für andere Benutzer, die ebenfalls zur Gruppe mit eingeschränkten Unternehmensbeschränkungen gehören.
[edit security policies] user@host# set from-zone human-resources-zone to-zone servers-zone policy human-resources-p1 match source-address any destination-address corporate-server user@host# set from-zone human-resources-zone to-zone servers-zone policy human-resources-p1 match application any user@host# set from-zone human-resources-zone to-zone servers-zone policy human-resources-p1 match source-identity “global\corporate-limited” user@host# set from-zone human-resources-zone to servers-zone policy human-resources-p1 then permit
Konfigurieren Sie eine Sicherheitsrichtlinie, die dem Benutzer abew1 den Zugriff auf den Unternehmensserver (IP-Adresse 203.0.113.71) in der Serverzone ermöglicht. Der Benutzer abew1 gehört zu marketing-access-limited-grp, für das die Sicherheitsrichtlinie gilt.
[edit security policies] user@host# set from-zone marketing-zone to-zone servers-zone policy marketing-p0 match source-address any destination-address corporate-server user@host# set from-zone marketing-zone to-zone servers-zone policy marketing-p0 match application any user@host# set from-zone marketing-zone to-zone servers-zone policy marketing-p0 match source-identity “global\marketing-access-limited-grp” user@host# set from-zone marketing-zone to-zone servers-zone policy marketing-p0 then permit
Konfigurieren Sie eine Sicherheitsrichtlinie, die Benutzern, die der Gruppe sales-limited-group angehören, den Zugriff auf den Server human-resources-server (IP-Adresse 203.0.113.81) ermöglicht, wenn sie eine Anforderung aus der Marketingzone initiieren. Der Benutzer jxchan gehört zur sales-limited-group.
[edit security policies] user@host# set from-zone marketing-zone to-zone servers-zone policy marketing-p3 match source-address any destination-address human-resources-server user@host# set from-zone marketing-zone to-zone servers-zone policy marketing-p3 match application any user@host# set from-zone marketing-zone to-zone servers-zone policy marketing-p3 match source-identity “global\sales-limited-group” user@host# set from-zone marketing-zone to-zone servers-zone policy marketing-p3 then permit
Konfigurieren Sie eine Sicherheitsrichtlinie, die Benutzern, die zur Gastgruppe gehören, den Zugriff auf den öffentlichen Server (IP-Adresse 203.0.113.91) in der Serverzone ermöglicht.
[edit security policies] user@host# set from-zone public-zone to-zone servers-zone policy guest-allow-access match source-address any destination address public-server user@host# set from-zone public-zone to-zone servers-zone policy guest-allow-access match application any user@host# set from-zone public-zone to-zone servers-zone policy guest-allow-access match source-identity “global\guest” user@host# set from-zone public-zone to-zone servers-zone policy guest-allow-access then permit
Konfigurieren Sie eine Sicherheitsrichtlinie, die Benutzern, die zur Gruppe guest-device-byod gehören, den Zugriff auf alle Server in der Serverzone verweigert, wenn sie ihre eigenen Geräte verwenden.
[edit security policies] user@host# set from-zone public-zone to-zone servers-zone policy guest-deny-access match source-address any destination-address any user@host# set from-zone public-zone to-zone servers-zone policy guest-deny-access match application any user@host# user@host# set from-zone public-zone to-zone servers-zone policy guest-deny-access match source-identity “global\guest-device-byod” user@host# set from-zone public-zone to-zone servers-zone policy guest-deny-access then deny
Befund
Bestätigen Sie im Konfigurationsmodus die Konfiguration Ihrer Sicherheitsrichtlinien für das integrierte ClearPass, indem Sie den show security policies Befehl eingeben.
Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
from-zone marketing-zone to-zone servers-zone {
policy marketing-p1 {
match {
source-address any;
destination-address any;
application any;
source-identity "global\marketing-access-for-pcs-limited-group";
}
then {
permit;
}
}
policy marketing-p2 {
match {
source-address any;
destination-address marketing-zone-protected;
application any;
source-identity "global\abew1";
}
then {
permit;
}
}
policy marketing-p0 {
match {
source-address any;
destination-address corporate-server;
application any;
source-identity "global\marketing-access-limited-grp";
}
then {
permit;
}
}
policy marketing-p3 {
match {
source-address any;
destination-address human-resources-server;
application any;
source-identity "global\sales-limited-group";
}
then {
permit;
}
}
}
from-zone accounting-zone to-zone servers-zone {
policy acct-cp-device {
match {
source-address any;
destination-address accounting-server;
application any;
source-identity "global\accounting-grp-and-company-device";
}
then {
permit;
}
}
}
from-zone human-resources-zone to-zone servers-zone {
policy human-resources-p1 {
match {
source-address any;
destination-address corporate-server;
application any;
source-identity "global\corporate-limited";
}
then {
permit;
}
}
}
from-zone public-zone to-zone servers-zone {
policy guest-allow-access {
match {
source-address any;
destination-address public-server;
application any;
source-identity “global\guest”;
}
then {
permit;
}
}
policy guest-deny-access {
match {
source-address any;
destination-address any;
application any;
source-identity “global\guest-device-byod”;
}
then {
deny;
}
}
}
Verifizierung
In diesem Abschnitt wird der Inhalt der ClearPass-Authentifizierungstabelle überprüft, nachdem bestimmte Ereignisse eingetreten sind, die dazu führen, dass einige der Benutzerauthentifizierungseinträge geändert werden. Außerdem wird gezeigt, wie Sie sicherstellen können, dass die ClearPass-Authentifizierungstabelle erfolgreich gelöscht wurde, nachdem Sie den Befehl delete abgegeben haben. Es besteht aus den folgenden Teilen:
- Anzeigen des Inhalts der ClearPass-Authentifizierungstabelle vor und nach der Abmeldung eines authentifizierten Benutzers vom Netzwerk
- Anzeigen des Inhalts der Authentifizierungstabelle vor und nach dem Löschen einer referenzierten Sicherheitsrichtlinie
Anzeigen des Inhalts der ClearPass-Authentifizierungstabelle vor und nach der Abmeldung eines authentifizierten Benutzers vom Netzwerk
Zweck
Zeigen Sie den Inhalt der ClearPass-Authentifizierungstabelle an, wenn ein bestimmter, authentifizierter Benutzer beim Netzwerk angemeldet ist und nachdem sich der Benutzer abgemeldet hat.
Aktion
Geben Sie den show services user-identification authentication-table authentication-source authentication-source Befehl für die ClearPass-Authentifizierungstabelle ein, die als aruba-clearpass bezeichnet wird. Beachten Sie, dass die ClearPass-Authentifizierungstabelle einen Eintrag für den Benutzer viki2 enthält.
show services user-identification authentication-table authentication-source aruba-clearpass Domain: GLOBAL Total entries: 6 Source IP Username groups(Ref by policy) state 203.0.113.21 viki2 accounting-grp-and-company-dev Valid 203.0.113.89 abew1 marketing-access-limited-grp Valid 203.0.113.52 jxchan marketing-access-for-pcs-limit Valid 203.0.113.53 lchen1 corporate-limited Valid 203.0.113.54 guest1 Valid 203.0.113.55 guest2 Valid
Geben Sie den gleichen Befehl erneut ein, nachdem viki2 sich vom Netzwerk abgemeldet hat. Beachten Sie, dass die ClearPass-Authentifizierungstabelle keinen Eintrag mehr für viki2 enthält.
Domain: GLOBAL Total entries: 6 Source IP Username groups(Ref by policy) state 203.0.113.89 abew1 marketing-access-limited-grp Valid 203.0.113.52 jxchan marketing-access-for-pcs-limit Valid 203.0.113.53 lchen1 corporate-limited Valid 203.0.113.54 guest1 Valid 203.0.113.55 guest2 Valid
Anzeigen des Inhalts der Authentifizierungstabelle vor und nach dem Löschen einer referenzierten Sicherheitsrichtlinie
Zweck
Zeigt den Inhalt der ClearPass-Authentifizierungstabelle für einen bestimmten Benutzer (lchen1) an, der zu einer Gruppe gehört, auf die eine Sicherheitsrichtlinie verweist. Löschen Sie diese Sicherheitsrichtlinie, und zeigen Sie dann den Eintrag für diesen Benutzer erneut an.
Aktion
Geben Sie den show service user-identification authentication-table authentication-source user user-name Befehl ein, um den Eintrag in der ClearPass-Authentifizierungstabelle für einen bestimmten Benutzer, lchen1, anzuzeigen. Beachten Sie, dass es die Gruppe mit beschränkter Haftung enthält.
show service user-identification authentication-table authentication-source user lchen1 Domain: GLOBAL Source IP Username groups(Ref by policy) state 203.0.113.53 lchen1 corporate-limited Valid
Das Feld "human-resources-p1 security policy source-identity" bezieht sich auf die Gruppe "corporate-limited". Wie oben im Eintrag ClearPassauthentication für ihn gezeigt, gehört der Benutzer lchen1 zu dieser Gruppe. Im Folgenden finden Sie die Konfiguration für die Sicherheitsrichtlinie human-resources-p1, auf die verwiesen wird:
from-zone human-resources-zone to-zone servers-zone {
policy human-resources-p1 {
match {
source-address any;
destination-address corporate-server;
application any;
source-identity "global\corporate-limited";
}
then {
permit;
}
}
}
Nachdem Sie die Sicherheitsrichtlinie human-resources-p1 gelöscht haben, deren source-identity-Parameter auf die Gruppe corporate-limited verweist, geben Sie denselben Befehl erneut ein. Beachten Sie, dass der Authentifizierungseintrag für lchen1 nicht die Gruppe "Corporate-Limited" enthält.
show service user-identification authentication-table authentication-source aruba-clearpass user lchen1 Domain: GLOBAL Source IP Username groups(Ref by policy) state 203.0.113.53 lchen1 Valid
Gehen Sie bei der Überprüfung des Status der ClearPass-Authentifizierungstabelle nach der Änderung anders vor. Zeigen Sie die gesamte Tabelle an, um sicherzustellen, dass die Gruppe – auf das Unternehmen beschränkt – in keinem der Benutzereinträge enthalten ist. Beachten Sie, dass, wenn mehr als ein Benutzer der Gruppe mit eingeschränkter Unternehmensbeschränkung angehört, die Authentifizierungseinträge für alle betroffenen Benutzer diesen Gruppennamen nicht anzeigen.
Geben Sie im Betriebsmodus den show services user-identification authentication-table authentication-source aruba-clearpass Befehl ein.
show services user-identification authentication-table authentication-source aruba-clearpass Domain: GLOBAL Total entries: 6 Source IP Username groups(Ref by policy) state 203.0.113.21 viki2 accounting-grp-and-company-dev Valid 203.0.113.89 abew1 marketing-access-limited-grp Valid 203.0.113.52 jxchan marketing-access-for-pcs-limit Valid 203.0.113.53 lchen1 Valid 203.0.113.54 guest1 Valid 203.0.113.55 guest2 Valid
Beispiel: Konfigurieren der Web-API-Funktion
Die Firewall der SRX-Serie und der ClearPass Policy Manager (CPPM) arbeiten zusammen, um den Zugriff auf Ihre geschützten Ressourcen und auf das Internet zu steuern. Zu diesem Zweck muss die Firewall der SRX-Serie Benutzer authentifizieren und Sicherheitsrichtlinien anwenden, die ihren Anforderungen entsprechen. Für die integrierte ClearPass-Authentifizierungs- und -Durchsetzungsfunktion setzt die Firewall der SRX-Serie auf ClearPass als Authentifizierungsquelle.
Die Web-API-Funktion, die in diesem Beispiel behandelt wird, stellt dem CPPM eine API zur Verfügung, mit der es eine sichere Verbindung mit der Firewall der SRX-Serie aufbauen kann. CPPM verwendet diese Verbindung, um Benutzerauthentifizierungsinformationen an die Firewall der SRX-Serie zu senden. In ihrer Beziehung fungiert die Firewall der SRX-Serie als HTTPS-Server für den CPPM-Client.
Anforderungen
In diesem Abschnitt werden die Software- und Hardwareanforderungen für die Topologie für dieses Beispiel definiert. Siehe Abbildung 3 für den Topologieentwurf.
Die Hardware- und Softwarekomponenten sind:
Aruba ClearPass Policy Manager (CPPM). Das CPPM ist so konfiguriert, dass es seine lokale Authentifizierungsquelle zur Authentifizierung von Benutzern verwendet.
Anmerkung:Es wird davon ausgegangen, dass das CPPM so konfiguriert ist, dass es der Firewall der SRX-Serie Benutzerauthentifizierungs- und Identitätsinformationen zur Verfügung stellt, einschließlich des Benutzernamens, einer Liste der Namen aller Gruppen, denen der Benutzer angehört, der IP-Adressen der verwendeten Geräte und des Gerätestatustokens.
Firewall der SRX-Serie mit Junos OS und integrierter ClearPass-Funktion.
Eine Serverfarm, die aus sechs Servern besteht, die sich alle in der Serverzone befinden:
marketing-server-geschützt (203.0.113.23 )
Personal-Server (203.0.113.25 )
accounting-server (203.0.113.72)
Öffentlicher Server (192.0.2.96)
Unternehmensserver (203.0.113.71)
sales-server (203.0.113.81)
AC 7010 Aruba Cloud Services Controller mit ArubaOS
Aruba AP Wireless Access Controller mit ArubaOS
Der Aruba AP ist mit dem AC7010 verbunden.
Wireless-Benutzer verbinden sich über den Aruba AP mit dem CPPM.
Der Switch EX4300 von Juniper Networks wird als kabelgebundenes 802.1-Zugriffsgerät verwendet.
Benutzer mit kabelgebundenen Netzwerken verbinden sich über den Switch EX4300 mit dem CPPM.
Sechs Endbenutzersysteme:
Drei mit dem Netzwerk verbundene kabelgebundene PCs, auf denen Microsoft OS ausgeführt wird
Zwei BYOD-Geräte, die über das Aruba AP-Zugangsgerät auf das Netzwerk zugreifen
Ein drahtloser Laptop mit Microsoft-Betriebssystem
Überblick
Sie können identitätsorientierte Sicherheitsrichtlinien auf der Firewall der SRX-Serie konfigurieren, um den Zugriff eines Benutzers auf Ressourcen basierend auf dem Benutzernamen oder dem Gruppennamen und nicht auf der IP-Adresse des Geräts zu steuern. Für diese Funktion nutzt die Firewall der SRX-Serie CPPM für die Benutzerauthentifizierung. Die Firewall der SRX-Serie stellt ClearPass ihre Web-API (Webapi) zur Verfügung, damit CPPM in sie integriert werden kann. Das CCPM sendet Benutzerauthentifizierungsinformationen effizient über die Verbindung hinweg an die Firewall der SRX-Serie. Sie müssen die Web-API-Funktion so konfigurieren, dass CPPM eine sichere Verbindung initiieren und herstellen kann. Für den Verbindungsaufbau zwischen der Firewall der SRX-Serie und dem CPPM ist für die Firewall der SRX-Serie kein separater Routing-Engine-Prozess erforderlich.
Abbildung 2 zeigt den Kommunikationszyklus zwischen der Firewall der SRX-Serie und dem CPPM, einschließlich der Benutzerauthentifizierung.
zwischen ClearPass und Firewalls der SRX-Serie
Wie dargestellt, findet die folgende Aktivität statt:
-
Das CPPM stellt über die Web-API eine sichere Verbindung mit der Firewall der SRX-Serie her.
Drei Benutzer treten dem Netzwerk bei und werden vom CPPM authentifiziert.
Ein Tablet-Benutzer tritt dem Netzwerk über das Unternehmens-WAN bei.
Ein Smartphone-Benutzer tritt dem Netzwerk über das Unternehmens-WAN bei.
Ein Benutzer eines drahtlosen Laptops tritt dem Netzwerk von einem kabelgebundenen Laptop bei, der mit einem Layer-2-Switch verbunden ist, der mit dem Unternehmens-LAN verbunden ist.
-
Das CPPM sendet die Benutzerauthentifizierungs- und Identitätsinformationen für die Benutzer, die beim Netzwerk angemeldet sind, in POST-Anforderungsnachrichten über die Web-API an die Firewall der SRX-Serie.
Wenn Datenverkehr von einem Benutzer bei der Firewall der SRX-Serie eingeht, geht die Firewall der SRX-Serie wie folgt vor:
-
Identifiziert eine Sicherheitsrichtlinie, der der Datenverkehr entspricht.
-
Sucht einen Authentifizierungseintrag für den Benutzer in der ClearPass-Authentifizierungstabelle.
-
Wendet die Sicherheitsrichtlinie nach der Authentifizierung des Benutzers auf den Datenverkehr an.
-
-
Der Datenverkehr des Smartphone-Benutzers, der Zugriff auf eine interne, geschützte Ressource anfordert, kommt bei der Firewall der SRX-Serie an. Da alle in Schritt 3 genannten Bedingungen erfüllt sind und die Sicherheitsrichtlinie dies zulässt, ermöglicht die Firewall der SRX-Serie dem Benutzer die Verbindung mit der geschützten Ressource.
-
Der Datenverkehr des kabelgebundenen Laptop-Benutzers, der Zugriff auf eine geschützte Ressource anfordert, kommt bei der Firewall der SRX-Serie an. Da alle in Schritt 3 genannten Bedingungen erfüllt sind und die Sicherheitsrichtlinie dies zulässt, ermöglicht die Firewall der SRX-Serie dem Benutzer die Verbindung mit der Ressource.
-
Der Datenverkehr des Tablet-Benutzers, der Zugriff auf das Internet anfordert, kommt bei der Firewall der SRX-Serie an. Da alle in Schritt 3 genannten Bedingungen erfüllt sind und die Sicherheitsrichtlinie dies zulässt, ermöglicht die Firewall der SRX-Serie dem Benutzer die Verbindung mit dem Internet.
Der Web-API-Daemon ist aus Sicherheitsgründen standardmäßig nicht aktiviert. Wenn Sie den Web-API-Daemon starten, öffnet er standardmäßig entweder den HTTP- (8080) oder den HTTPS-Dienstport (8443). Sie müssen sicherstellen, dass einer dieser Ports konfiguriert ist, je nachdem, welche Version des HTTP-Protokolls Sie verwenden möchten. Aus Sicherheitsgründen wird die Verwendung von HTTPS empfohlen. Das Öffnen dieser Ports macht das System anfälliger für Serviceangriffe. Zum Schutz vor Dienstangriffen, die diese Ports verwenden könnten, wird der Web-API-Daemon erst gestartet, nachdem Sie ihn aktiviert haben.
Bei der Web-API handelt es sich um eine RESTful-Webservices-Implementierung. Die RESTful-Webdienste werden jedoch nicht vollständig unterstützt. Er fungiert vielmehr als HTTP- oder HTTPS-Server, der auf Anforderungen vom ClearPass-Client antwortet.
Die Web-API-Verbindung wird vom CPPM mit dem HTTP-Dienstport (8080) oder dem HTTPS-Dienstport (8443) initialisiert. Damit ClearPass Nachrichten senden kann, müssen Sie den Web-API-Daemon aktivieren und konfigurieren.
Um Missbrauch zu verhindern und vor Datenmanipulation zu schützen, führt der Web-API-Daemon folgende Schritte aus:
Erfordert die ClearPass-Clientauthentifizierung über die HTTP- oder HTTPS-Standardbenutzerkontoauthentifizierung.
Lässt zu, dass Daten nur von der IP-Adresse gesendet werden, die als Clientquelle konfiguriert ist. Das heißt, HTTP- oder HTTPS-POST-Anforderungen werden nur von der IP-Adresse des ClearPass-Clients zugelassen, die in diesem Beispiel 192.0.2.199 lautet.
Erfordert, dass gepostete Inhalte dem etablierten XML-Datenformat entsprechen. Bei der Verarbeitung der Daten stellt der Web-API-Daemon sicher, dass das richtige Datenformat verwendet wurde.
Beachten Sie, dass Webmanagement und die Firewall der SRX-Serie zusammen auf unterschiedlichen HTTP- oder HTTPS-Serviceports ausgeführt werden müssen.
Weitere Informationen dazu, wie diese Funktion vor Datenmanipulation schützt, finden Sie unter Web-API-Funktion .
Der UserID-Daemon der SRX-Serie verarbeitet die Benutzerauthentifizierungs- und Identitätsinformationen und synchronisiert sie mit der ClearPass-Authentifizierungstabelle auf der Packet Forwarding Engine. Die Firewall der SRX-Serie erstellt eine ClearPass-Authentifizierungstabelle, die nur für Informationen verwendet werden soll, die vom CPPM empfangen werden. Die ClearPass-Authentifizierungstabelle enthält keine Benutzerauthentifizierungsinformationen aus anderen Authentifizierungsquellen. Die Firewall der SRX-Serie überprüft die ClearPass-Authentifizierungstabelle, um Benutzer zu authentifizieren, die versuchen, über kabelgebundene oder drahtlose Geräte und lokale Netzwerkressourcen auf geschützte Netzwerkressourcen im Internet zuzugreifen.
Damit das CPPM eine Verbindung zur Firewall der SRX-Serie herstellen und Authentifizierungsinformationen bereitstellen kann, muss es mithilfe der HTTPS-Authentifizierung zertifiziert werden. Der Web-API-Daemon unterstützt drei Methoden, die verwendet werden können, um auf ein HTTPS-Zertifikat zu verweisen: ein Standardzertifikat, ein lokales PKI-Zertifikat und ein benutzerdefiniertes Zertifikat, das über die Konfigurationsanweisungen certificate und certificate-key implementiert wird. Diese Zertifikatsmethoden schließen sich gegenseitig aus.
In diesem Beispiel wird HTTPS für die Verbindung zwischen dem CPPM und der Firewall der SRX-Serie verwendet. Um die Sicherheit zu gewährleisten, beträgt die Standard-Zertifikatschlüsselgröße der integrierten ClearPass-Funktion 2084 Bit.
Unabhängig davon, ob Sie eine beliebige Methode verwenden – das Standardzertifikat, ein PKI-generiertes Zertifikat oder ein benutzerdefiniertes Zertifikat – müssen Sie aus Sicherheitsgründen sicherstellen, dass die Zertifikatgröße mindestens 2084 Bit beträgt.
Das folgende Beispiel zeigt, wie ein Zertifikat und ein Schlüssel mithilfe von PKI generiert werden:
user@host>request security pki generate-key-pair certificate-id aruba size 2048 user@host>request security pki local-certificate generate-self-signed certificate-id aruba domain-name mycompany.net email jxchan@mycompany.net ip-address 192.51.100.21 subject “CN=John Doe,OU=Sales ,O=mycompany.net ,L=MyCity ,ST=CA,C=US"
Topologie
Abbildung 3 zeigt die Topologie, die für die Beispiele für die integrierte ClearPass-Bereitstellung verwendet wird.
Konfiguration
In diesem Abschnitt wird beschrieben, wie Sie die Web-API der SRX-Serie aktivieren und konfigurieren.
Sie müssen die Web-API aktivieren. Sie ist standardmäßig nicht aktiviert.
- CLI Schnellkonfiguration
- Konfigurieren des Web-API-Daemons der SRX-Serie
- Konfigurieren der Zeitüberschreitung und Priorität des Eintrags in der ClearPass-Authentifizierungstabelle
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Anweisungen, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Anweisungen, fügen Sie sie auf der [edit] Hierarchieebene in die CLI ein, und wechseln Sie commit dann aus dem Konfigurationsmodus.
set system services webapi user sunny password i4%rgd set system services webapi client 192.0.2.199 set system services webapi https port 8443 set system services webapi https pki-local-certificate aruba set system services webapi debug-level alert set interfaces ge-0/0/3.4 vlan-id 340 family inet address 192.51.100.21 set security zones security-zone trust interfaces ge-0/0/3.4 host-inbound-traffic system-services webapi-ssl set security user-identification authentication-source aruba-clearpass priority 110 set security user-identification authentication-source local-authentication-table priority 120 set security user-identification authentication-source active-directory-authentication-table priority 125 set security user-identification authentication-source firewall-authentication priority 150 set security user-identification authentication-source unified-access-control priority 200
Konfigurieren des Web-API-Daemons der SRX-Serie
Schritt-für-Schritt-Anleitung
Durch die Konfiguration der Web-API kann CPPM eine Verbindung zur Firewall der SRX-Serie initialisieren. Es ist keine separate Verbindungskonfiguration erforderlich.
Es wird davon ausgegangen, dass das CPPM so konfiguriert ist, dass es der Firewall der SRX-Serie authentifizierte Benutzeridentitätsinformationen bereitstellt, einschließlich des Benutzernamens, der Namen aller Gruppen, denen der Benutzer angehört, der IP-Adressen der verwendeten Geräte und eines Statustokens.
Beachten Sie, dass das CPPM möglicherweise Rollenzuordnungen konfiguriert hat, die Benutzer oder Benutzergruppen Gerätetypen zuordnen. Wenn das CPPM die Rollenzuordnungsinformationen an die Firewall der SRX-Serie weiterleitet, behandelt die Firewall der SRX-Serie die Rollenzuordnungen als Gruppen. Die Firewall der SRX-Serie unterscheidet sie nicht von anderen Gruppen.
So konfigurieren Sie den Web-API-Daemon:
Konfigurieren Sie den Benutzernamen und das Kennwort für den Web-API-Daemon (webapi) für das Konto.
Diese Informationen werden für die HTTPS-Zertifizierungsanforderung verwendet.
[edit system services] user@host# set webapi user sunny password i4%rgd
-
Konfigurieren Sie die Web-API-Clientadresse, d. h. die IP-Adresse des Datenports des ClearPass-Webservers.
Die Firewall der SRX-Serie akzeptiert nur Informationen von dieser Adresse.
Anmerkung:Der Datenport des ClearPass-Webservers, dessen Adresse hier konfiguriert ist, ist derselbe, der für die Benutzerabfragefunktion verwendet wird, wenn Sie diese Funktion konfigurieren.
[edit system services] user@host# set webapi client 192.0.2.199
Anmerkung:Ab Junos OS Version 15.1X49-D130 unterstützt die Firewall der SRX-Serie IPv6-Adressen zur Konfiguration der Web-API-Client-Adresse. Vor Junos OS-Version 15.1X49-D130 wurden nur IPv4-Adressen unterstützt.
Konfigurieren Sie den HTTPS-Dienstport des Web-API-Daemons.
Wenn Sie den Web-API-Dienst auf dem standardmäßigen TCP-Port 8080 oder 8443 aktivieren, müssen Sie den eingehenden Datenverkehr des Hosts auf diesem Port aktivieren.
In diesem Beispiel wird die sichere Version des Web-API-Diensts (webapi-ssl) verwendet, sodass Sie den HTTPS-Dienstport 8443 konfigurieren müssen.
[edit system services] user@host# set webapi https port 8443
Konfigurieren Sie den Web-API-Daemon für die Verwendung des HTTPS-Standardzertifikats.
[edit system services] user@host# set webapi https pki-local-certificate aruba
Konfigurieren Sie die Ablaufverfolgungsebene für den Web-API-Daemon.
Die unterstützten Ablaufverfolgungsstufen sind notice, warn, error, crit, alert und emerg. Der Standardwert ist error.
[edit system services] user@host# webapi debug-level alert
Konfigurieren Sie die Schnittstelle, die für den eingehenden Hostdatenverkehr vom CPPM verwendet werden soll.
user@host# set interfaces ge-0/0/3.4 vlan-id 340 family inet address 192.51.100.21
Aktivieren Sie den eingehenden Datenverkehr des Web-API-Diensts über den HTTPS-Host auf TCP-Port 8443.
[edit security zones] user@host# set security-zone trust interfaces ge-0/0/3.4 host-inbound-traffic system-services webapi-ssl
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Web-API-Konfiguration, indem Sie den show system services webapi Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
user {
sunny;
password "$ABC123"; ## SECRET-DATA
}
client {
192.0.2.199;
}
https {
port 8443;
pki-local-certificate aruba;
}
debug-level {
alert;
}
Bestätigen Sie im Konfigurationsmodus die Konfiguration für die Schnittstelle, die für den eingehenden Hostdatenverkehr vom CPPM verwendet wird, indem Sie den show interfaces ge-0/0/3.4 Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie den Überprüfungsvorgang in diesem Beispiel, um das Problem zu korrigieren.
vlan-id 340;
family inet {
address 192.51.100.21/32;
}
Bestätigen Sie im Konfigurationsmodus Ihre Sicherheitszonenkonfiguration, die eingehenden Datenverkehr vom Host vom CPPM mithilfe des sicheren Web-API-Diensts (web-api-ssl) zulässt, indem Sie den show security zones security-zone trust Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie den Überprüfungsvorgang in diesem Beispiel, um das Problem zu korrigieren.
interfaces {
ge-0/0/3.4 {
host-inbound-traffic {
system-services {
webapi-ssl;
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.
Konfigurieren der Zeitüberschreitung und Priorität des Eintrags in der ClearPass-Authentifizierungstabelle
Schritt-für-Schritt-Anleitung
Mit diesem Verfahren werden die folgenden Informationen konfiguriert:
Der timeout-Parameter, der bestimmt, wann Authentifizierungseinträge im Leerlauf in der ClearPass-Authentifizierungstabelle veraltet sein sollen.
Die ClearPass-Authentifizierungstabelle als erste Authentifizierungstabelle in der Suchreihenfolge für die Firewall der SRX-Serie für die Suche nach Einträgen in der Benutzerauthentifizierung. Wenn in der ClearPass-Authentifizierungstabelle kein Eintrag gefunden wird und andere Authentifizierungstabellen konfiguriert sind, durchsucht die Firewall der SRX-Serie diese in der von Ihnen festgelegten Reihenfolge.
-
Legen Sie den Timeoutwert, der verwendet wird, um Authentifizierungseinträge im Leerlauf in der ClearPass-Authentifizierungstabelle ablaufen zu lassen, auf 20 Minuten fest.
[edit services user-identification] user@host# set authentication-source aruba-clearpass authentication-entry-timeout 20
Wenn Sie die Firewall der SRX-Serie zum ersten Mal für die Integration mit einer Authentifizierungsquelle konfigurieren, müssen Sie einen Timeout-Wert angeben, um zu bestimmen, wann Einträge im Leerlauf in der ClearPass-Authentifizierungstabelle ablaufen sollen. Wenn Sie keinen Timeoutwert angeben, wird der Standardwert angenommen.
-
Vorgabe = 30 Minuten
-
range = Falls gesetzt, sollte der Timeout-Wert innerhalb des Bereichs [10,1440 Minuten] liegen. Ein Wert von 0 bedeutet, dass der Eintrag nie abläuft.
-
-
Legen Sie die Prioritätsreihenfolge der Authentifizierungstabelle fest, um die Firewall der SRX-Serie anzuweisen, zuerst in der ClearPass-Authentifizierungstabelle nach Einträgen für die Benutzerauthentifizierung zu suchen. Geben Sie die Reihenfolge an, in der andere Authentifizierungstabellen durchsucht werden, wenn in der ClearPass-Authentifizierungstabelle kein Eintrag für den Benutzer gefunden wird.
Anmerkung:Sie müssen diesen Wert festlegen, wenn die ClearPass-Authentifizierungstabelle nicht die einzige Authentifizierungstabelle auf der Packet Forwarding Engine ist.
[edit security user-identification] user@host# set authentication-source aruba-clearpass priority 110 user@host# set authentication-source local-authentication-table priority 120 user@host# set authentication-source active-directory-authentication-table priority 125 user@host# set authentication-source firewall-authentication priority 150 user@host# set authentication-source unified-access-control priority 200
Der Standardprioritätswert für die ClearPass-Authentifizierungstabelle ist 110. Sie müssen den Eintrag in der lokalen Authentifizierungstabelle von 100 in 120 ändern, um die Firewall der SRX-Serie anzuweisen, zuerst die ClearPass-Authentifizierungstabelle zu überprüfen, ob andere Authentifizierungstabellen in der Packet Forwarding Engine vorhanden sind. Tabelle 2 zeigt die neue Suchpriorität der Authentifizierungstabelle.
Tabelle 2: Firewall-Authentifizierungstabellen der SRX-Serie Zuweisung von Suchpriorität Authentifizierungstabellen der SRX-Serie
Sollwert
ClearPass-Authentifizierungstabelle
110
Lokale Authentifizierungstabelle
120
Active Directory-Authentifizierungstabelle
125
Firewall-Authentifizierungstabelle
150
UAC-Authentifizierungstabelle
200
Befund
Vergewissern Sie sich im Konfigurationsmodus, dass der Zeitüberschreitungswert, der für veraltete Einträge in der ClearPass-Authentifizierungstabelle festgelegt wurde, korrekt ist. Geben Sie den show services user-identification Befehl ein. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
authentication-source aruba-clearpass {
authentication-entry-timeout 20;
}
Beispiel: Konfigurieren der Benutzerabfragefunktion
In diesem Beispiel wird gezeigt, wie die Firewall der SRX-Serie so konfiguriert wird, dass sie Aruba ClearPass automatisch nach Benutzerauthentifizierungs- und Identitätsinformationen für einen einzelnen Benutzer abfragen kann, wenn diese Informationen nicht verfügbar sind.
Die Benutzerabfragefunktion ist eine Ergänzung zur Web-API-Methode zum Abrufen von Benutzerauthentifizierungs- und Identitätsinformationen und optional.
Anforderungen
In diesem Abschnitt werden die Software- und Hardwareanforderungen für die Gesamttopologie definiert, die die Anforderungen an Benutzerabfragen enthält. Siehe Abbildung 5 für die Topologie. Ausführliche Informationen zum Benutzerabfrageprozess finden Sie in Abbildung 4.
Die Hardware- und Softwarekomponenten sind:
Aruba ClearPass (CPPM) Das CPPM ist so konfiguriert, dass es seine lokale Authentifizierungsquelle zur Authentifizierung von Benutzern verwendet.
Anmerkung:Es wird davon ausgegangen, dass das CPPM so konfiguriert ist, dass es der Firewall der SRX-Serie Benutzerauthentifizierungs- und Identitätsinformationen zur Verfügung stellt, einschließlich des Benutzernamens, einer Liste der Namen aller Gruppen, denen der Benutzer angehört, der IP-Adressen der verwendeten Geräte und des Gerätestatustokens.
Firewall der SRX-Serie mit Junos OS und integrierter ClearPass-Funktion.
Eine Serverfarm, die aus sechs Servern besteht, die sich alle in der Serverzone befinden:
marketing-server-geschützt (203.0.113.23 )
Personal-Server (203.0.113.25 )
accounting-server (203.0.113.72)
Öffentlicher Server (203.0.113.91)
Unternehmensserver (203.0.113.71)
sales-server (203.0.113.81)
AC 7010 Aruba Cloud Services Controller mit ArubaOS
Aruba AP Wireless Access Controller mit ArubaOS
Der Aruba AP ist mit dem AC7010 verbunden.
Wireless-Benutzer verbinden sich über den Aruba AP mit dem CPPM.
Der Switch EX4300 von Juniper Networks wird als kabelgebundenes 802.1-Zugriffsgerät verwendet.
Benutzer mit kabelgebundenen Netzwerken verbinden sich über den Switch EX4300 mit dem CPPM.
Sechs Endbenutzersysteme:
Drei mit dem Netzwerk verbundene kabelgebundene PCs, auf denen Microsoft OS ausgeführt wird
Zwei BYOD-Geräte, die über das Aruba AP-Zugangsgerät auf das Netzwerk zugreifen
Ein drahtloser Laptop mit Microsoft-Betriebssystem
Überblick
Sie können die Benutzerabfragefunktion so konfigurieren, dass die Firewall der SRX-Serie authentifizierte Benutzeridentitätsinformationen vom CPPM für einen einzelnen Benutzer abrufen kann, wenn die ClearPass-Authentifizierungstabelle des Geräts keinen Eintrag für diesen Benutzer enthält. Die Firewall der SRX-Serie stützt die Abfrage auf die IP-Adresse des Geräts des Benutzers, von dem der Datenverkehr generiert wurde, der aus der Zugriffsanfrage ausgeht.
Es gibt eine Reihe von Gründen, warum das Gerät möglicherweise noch nicht über Authentifizierungsinformationen vom CPPM für einen bestimmten Benutzer verfügt. So kann es z.B. vorkommen, dass ein Benutzer noch nicht durch das CPPM authentifiziert wurde. Dieser Zustand kann auftreten, wenn ein Benutzer dem Netzwerk über eine Zugriffsschicht beigetreten ist, die sich nicht auf einem verwalteten Switch oder WLAN befindet.
Die Benutzerabfragefunktion bietet der Firewall der SRX-Serie die Möglichkeit, Benutzerauthentifizierungs- und Identitätsinformationen vom CPPM für einen Benutzer abzurufen, für den CPPM diese Informationen nicht über die Web-API an die Firewall der SRX-Serie gesendet hat. Wenn das Gerät eine Zugriffsanforderung von einem Benutzer erhält, für den es keinen Eintrag in seiner ClearPass-Authentifizierungstabelle gibt, fragt es automatisch das CPPM danach ab, wenn diese Funktion konfiguriert ist.
Abbildung 4 zeigt den Prozess des Benutzerabfrageflusses, der die folgenden Schritte umfasst:
-
Ein Benutzer versucht, auf eine Ressource zuzugreifen. Die Firewall der SRX-Serie empfängt den Datenverkehr, der Zugriff anfordert. Das Gerät sucht in seiner ClearPass-Authentifizierungstabelle nach einem Eintrag für den Benutzer, aber es wird keiner gefunden.
Das Gerät fordert die Authentifizierung für den Benutzer vom CPPM an.
Das CPPM authentifiziert den Benutzer und gibt die Benutzerauthentifizierungs- und Identitätsinformationen an das Gerät zurück.
Das Gerät erstellt einen Eintrag für den Benutzer in seiner ClearPass-Authentifizierungstabelle und gewährt dem Benutzer Zugriff auf das Internet.
Benutzerabfragefunktion
Ausführliche Informationen zu den Parametern, mit denen Sie steuern können, wann das Gerät die Abfrage ausgibt, finden Sie unter Grundlegendes zur integrierten Benutzerabfragefunktion für ClearPass-Authentifizierung und -Erzwingung.
Sie können das CPPM auch manuell nach Authentifizierungsinformationen für einen einzelnen Benutzer abfragen, wenn diese Funktion konfiguriert ist.
Für die ClearPass-Endpunkt-API ist die Verwendung von OAuth (RFC 6749) erforderlich, um den Zugriff darauf zu authentifizieren und zu autorisieren. Damit das Gerät das CPPM nach individuellen Benutzerauthentifizierungs- und Autorisierungsinformationen abfragen kann, muss es ein Zugriffstoken abrufen. Zu diesem Zweck verwendet das Gerät den Zugriffstoken-Gewährungstyp für Clientanmeldeinformationen, der einer der beiden Typen ist, die ClearPass unterstützt.
Als Administrator des ClearPass-Richtlinien-Managers (CPPM) müssen Sie einen API-Client auf dem CPPM erstellen, dessen grant_type auf "client_credentials" festgelegt ist. Anschließend können Sie das Gerät so konfigurieren, dass es diese Informationen zum Abrufen eines Zugriffstokens verwendet. Hier ist ein Beispiel für das Nachrichtenformat hierfür:
curl https://{$Server}/api/oauth – – insecure – – data
“grant_type=client_credentials&client_id=Client2&client_secret= m2Tvcklsi9je0kH9UTwuXQwIutKLC2obaDL54/fC2DzC"
Eine erfolgreiche Anforderung des Geräts zum Abrufen eines Zugriffstokens führt zu einer Antwort, die dem folgenden Beispiel ähnelt:
{
“access_token”:”ae79d980adf83ecb8e0eaca6516a50a784e81a4e”,
“expires_in”:2880,
“token_type”:”Bearer”,
“scope”=nu;
}
Bevor das Zugriffstoken abläuft, kann das Gerät mit derselben Nachricht ein neues Token abrufen.
Topologie
Abbildung 5 zeigt die Gesamttopologie für diese Bereitstellung, die die Benutzerabfrageumgebung umfasst.
enthält
Konfiguration
Führen Sie die folgenden Aufgaben aus, um die Benutzerabfragefunktion zu aktivieren und zu konfigurieren:
- CLI Schnellkonfiguration
- Konfigurieren der Benutzerabfragefunktion (optional)
- Manuelles Ausgeben einer Abfrage an das CPPM für individuelle Benutzerauthentifizierungsinformationen (optional)
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Anweisungen, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Anweisungen, fügen Sie sie auf der [edit] Hierarchieebene in die CLI ein, und wechseln Sie commit dann aus dem Konfigurationsmodus.
set services user-identification authentication-source aruba-clearpass user-query web-server cp-webserver address 192.0.2.199 set services user-identification authentication-source aruba_clearpass user-query ca-certificate RADUISServerCertificate.crt set services user-identification authentication-source aruba-clearpass user-query client-id client-1 set services user-identification authentication-source aruba-clearpass user-query client-secret 7cTr13# set services user-identification authentication-source aruba-clearpass user-query token-api “api/oauth” set services user-identification authentication-source aruba-clearpass user-query IP address “api/vi/insight/endpoint/ip/$IP$”
Konfigurieren der Benutzerabfragefunktion (optional)
Schritt-für-Schritt-Anleitung
Konfigurieren Sie die Benutzerabfragefunktion so, dass die Firewall der SRX-Serie automatisch eine Verbindung mit dem ClearPass-Client herstellen kann, um Authentifizierungsinformationen für einzelne Benutzer anzufordern.
Die Benutzerabfragefunktion ergänzt Eingaben aus dem CPPM, das über die Web-API gesendet wird. Der Web-API-Daemon muss nicht aktiviert sein, damit die Benutzerabfragefunktion funktioniert. Für die Benutzerabfragefunktion ist die Firewall der SRX-Serie der HTTP-Client. Er sendet HTTPS-Anfragen an das CPPM auf Port 443.
So aktivieren Sie die Firewall der SRX-Serie, um automatisch Abfragen einzelner Benutzer zu tätigen:
Konfigurieren Sie Aruba ClearPass als Authentifizierungsquelle für Benutzerabfrageanforderungen und konfigurieren Sie den Namen des ClearPass-Webservers sowie dessen IP-Adresse. Das Gerät benötigt diese Informationen, um eine Verbindung zum ClearPass-Webserver herzustellen.
Ab Junos OS-Version 15.1X49-D130 können Sie die IP-Adresse des Aruba Clearpass-Servers zusätzlich zur IPv4-Adresse mit einer IPv6-Adresse konfigurieren. Vor Junos OS-Version 15.1X49-D130 wurde nur die IPv4-Adresse unterstützt.
Anmerkung:Sie müssen aruba-clearpass als Authentifizierungsquelle angeben.
[edit services user-identification] user@host# set authentication-source aruba-clearpass user-query web-server cp-webserver address 192.0.2.199
Anmerkung:Sie können nur einen ClearPass-Webserver konfigurieren.
Konfigurieren Sie optional die Portnummer und die Verbindungsmethode, oder akzeptieren Sie die folgenden Werte für diese Parameter. In diesem Beispiel werden die Standardwerte angenommen.
connect-method (Standardwert ist HTTPS)
port (standardmäßig sendet das Gerät HTTPS-Anfragen an das CPPM auf Port 443
Wenn Sie jedoch die Verbindungsmethode und den Port explizit konfigurieren würden, würden Sie die folgenden Anweisungen verwenden:
set services user-identification authentication-source aruba-clearpass user-query web-server cp-webserver connect method <https/http> set services user-identification authentication-source aruba-clearpass user-query web-server cp-webserver port port-number
-
(Optional) Konfigurieren Sie die Zertifikatsdatei der ClearPass-Zertifizierungsstelle für das Gerät, das zur Überprüfung des ClearPass-Webservers verwendet werden soll. (Wenn keines konfiguriert ist, wird das Standardzertifikat angenommen.)
[edit services user-identification] user@host# set authentication-source aruba_clearpass user-query ca-certificate RADUISServerCertificate.crt
Mit dem CA-Zertifikat kann die Firewall der SRX-Serie die Authentizität des ClearPass-Webservers und seine Vertrauenswürdigkeit überprüfen.
Bevor Sie das Zertifikat konfigurieren, müssen Sie als Administrator des ClearPass-Geräts die folgenden Aktionen ausführen:
-
Exportieren Sie das Zertifikat des ClearPass-Webservers aus CPPM, und importieren Sie das Zertifikat auf das Gerät.
-
Konfigurieren Sie das CA-Zertifikat als Pfad, einschließlich des Dateinamens der Zertifizierungsstelle, wie er sich auf der Firewall der SRX-Serie befindet. In diesem Beispiel wird der folgende Pfad verwendet:
/var/tmp/RADUISServerCertificate.crt
-
-
Konfigurieren Sie die Client-ID und den geheimen Schlüssel, die die Firewall der SRX-Serie benötigt, um ein Zugriffstoken zu erhalten, das für Benutzerabfragen erforderlich ist.
[edit services user-identification] user@host# set authentication-source aruba-clearpass user-query client-id client-1 user@host# set authentication-source aruba-clearpass user-query client-secret 7cTr13#
Die Client-ID und der geheime Clientschlüssel sind erforderliche Werte. Sie müssen mit der Clientkonfiguration auf dem CPPM übereinstimmen.
Trinkgeld:Wenn Sie den Client auf dem CPPM konfigurieren, kopieren Sie die Client-ID und den geheimen Schlüssel, um sie in der Gerätekonfiguration zu verwenden.
Konfigurieren Sie die Token-API, die beim Generieren der URL zum Abrufen eines Zugriffstokens verwendet wird.
Anmerkung:Sie müssen die Token-API angeben. Er hat keinen Standardwert.
[edit services user-identification] user@host# set authentication-source aruba-clearpass user-query token-api “api/oauth”
In diesem Beispiel ist
api/oauthdie Token-API . Es wird mit den folgenden Informationen kombiniert, um die vollständige URL zum Abrufen eines Zugriffstokens zu generierenhttps://192.0.2.199/api/oauthDie Verbindungsmethode ist HTTPS.
In diesem Beispiel lautet die IP-Adresse des ClearPass-Webservers 192.0.2.199.
Konfigurieren Sie die Abfrage-API, die zum Abfragen individueller Benutzerauthentifizierungs- und Identitätsinformationen verwendet werden soll.
[edit services user-identification] user@host# set authentication-source aruba-clearpass user-query query-api ’api/vi/insight/endpoint/ip/$IP$’
In diesem Beispiel ist
api/vi/insight/endpoint/ip/$IP$die query-api . Es wird mit der URLhttps://192.0.2.199/api/oauthkombiniert, was zu führthttps://192.0.2.199/api/oauth/api/vi/insight/endpoint/ip/$IP$.Die Variable $IP wird durch die IP-Adresse des Geräts des Endbenutzers für den Benutzer ersetzt, dessen Authentifizierungsinformationen der SRX-Serie anfordert.
Konfigurieren Sie die Zeitspanne in Sekunden, die verzögert werden soll, bevor das Gerät die individuelle Benutzerabfrage sendet.
[edit services user-identification] user@host# set authentication-source aruba-clearpass user-query delay-query-time 10
Manuelles Ausgeben einer Abfrage an das CPPM für individuelle Benutzerauthentifizierungsinformationen (optional)
Schritt-für-Schritt-Anleitung
Konfigurieren Sie die folgende Anweisung, um Authentifizierungsinformationen für den Benutzer manuell anzufordern, dessen IP-Adresse 203.0.113.46 lautet.
root@device>request service user-identification authentication-source aruba-clearpass user-query address 203.0.113.46
Verifizierung
Verwenden Sie die folgenden Verfahren, um zu überprüfen, ob sich die Benutzerabfragefunktion wie erwartet verhält:
- Überprüfen, ob der ClearPass-Webserver online ist
- Aktivieren der Ablaufverfolgung und Überprüfen der Ausgabe
- Bestimmen, ob die Benutzerabfragefunktion normal ausgeführt wird
- Bestimmen, ob ein Problem besteht, indem Sie sich auf Benutzerabfrageindikatoren verlassen
Überprüfen, ob der ClearPass-Webserver online ist
Zweck
Stellen Sie sicher, dass der ClearPass-Webserver online ist. Dies ist die erste Methode, um zu überprüfen, ob die Benutzerabfrageanforderung erfolgreich abgeschlossen werden kann.
Aktion
Geben Sie den show service user-identification authentication-source authentication-source user-query status Befehl ein, um zu überprüfen, ob ClearPass online ist.
show service user-identification authentication-source aruba-clearpass user-query status Authentication source: aruba-clearpass Web server Address: 192.0.2.199 Status: Online Current connections: 0
Aktivieren der Ablaufverfolgung und Überprüfen der Ausgabe
Zweck
Zeigen Sie im Trace-Protokoll alle Fehlermeldungen an, die von der Benutzerabfragefunktion generiert wurden.
Aktion
Legen Sie den Namen der Ablaufverfolgungsprotokolldatei fest, und aktivieren Sie die Ablaufverfolgung mit den folgenden Befehlen:
set system services webapi debug-log trace-log-1 set services user-identification authentication-source aruba-clearpass traceoptions flag user-query
Bestimmen, ob die Benutzerabfragefunktion normal ausgeführt wird
Zweck
Ermitteln Sie, ob ein Problem mit dem Verhalten der Benutzerabfragefunktion vorliegt.
Aktion
Überprüfen Sie die Syslog-Meldungen, um festzustellen, ob die Anforderung der Benutzerabfrage fehlgeschlagen ist.
Wenn ein Fehler aufgetreten ist, wird die folgende Fehlermeldung gemeldet:
LOG1: sending user query for IP <ip-address> to ClearPass web server failed. :reason
Der Grund kann "Server nicht verbunden" oder "Socket-Fehler" sein.
Bestimmen, ob ein Problem besteht, indem Sie sich auf Benutzerabfrageindikatoren verlassen
Zweck
Zeigen Sie die Leistungsindikatoren für Benutzerabfragen an, um das Problem zu ermitteln, falls vorhanden, indem Sie den show service user-identification authentication-source authentication-source user-query counters Befehl eingeben.
Der Zeitstempel, der von ClearPass als Antwort auf die Abfrageanforderung des Benutzers zurückgegeben wird, kann in einem der ISO 8601-Formate angegeben werden, einschließlich des Formats, das eine Zeitzone enthält.
Aktion
show service user-identification authentication-source aruba-clearpass user-query counters
Authentication source: aruba-clearpass
Web server Address: Address: ip-address
Access token: token-string
RE quest sent number: counter
Routing received number: counter
Time of last response: timestamp
Beispiel: Konfigurieren von ClearPass zum Filtern und Begrenzen von Bedrohungs- und Angriffsprotokollen
Die Firewall der SRX-Serie kann dynamisch Informationen über Bedrohungen und Angriffe an den ClearPass Policy Manager (CPPM) senden, die von ihren Sicherheitsmodulen zum Schutz von Netzwerkressourcen identifiziert wurden. Es erkennt Angriffe und Angriffsbedrohungen, die sich auf die Aktivitäten bestimmter Geräte und ihrer Benutzer beziehen, und generiert entsprechende Protokolle. Um diese Übertragung zu steuern, müssen Sie den Typ der zu sendenden Protokolle und die Rate, mit der sie gesendet werden, konfigurieren. Sie können diese Informationen dann beim Festlegen von Richtlinienregeln für das CPPM verwenden, um Ihre Netzwerksicherheit zu erhöhen.
In diesem Beispiel wird gezeigt, wie die integrierte ClearPass-Authentifizierungs- und -Durchsetzungsfunktion der SRX-Serie so konfiguriert wird, dass nur Bedrohungs- und Angriffsprotokolle gefiltert und an das CPPM übertragen werden und dass das Volumen und die Rate, mit der die Firewall der SRX-Serie sie überträgt, gesteuert werden.
Anforderungen
Die Topologie für dieses Beispiel verwendet die folgenden Hardware- und Softwarekomponenten:
Aruba CPPM implementiert in einer virtuellen Maschine (VM) auf einem Server. Das CPPM ist so konfiguriert, dass es seine lokale Authentifizierungsquelle zur Authentifizierung von Benutzern verwendet.
Firewall der SRX-Serie mit Junos OS und integrierter ClearPass-Funktion. Die Firewall der SRX-Serie ist mit dem Switch EX4300 von Juniper Networks und mit dem Internet verbunden. Die Firewall der SRX-Serie kommuniziert mit ClearPass über eine sichere Verbindung.
Der Switch EX4300 von Juniper Networks wird als kabelgebundenes 802.1-Zugriffsgerät verwendet. Der EX4300 Layer 2-Switch verbindet die Endgerätebenutzer mit dem Netzwerk. Die Firewall der SRX-Serie ist mit dem Switch verbunden.
Kabelgebundener, mit dem Netzwerk verbundener PC mit Microsoft-Betriebssystem. Das System ist direkt mit dem EX4300-Switch verbunden.
Bedrohungs- und Angriffsprotokolle werden für Aktivitäten dieser Geräte geschrieben, die durch Ereignisse ausgelöst werden, die von den Sicherheitsfunktionen abgefangen werden und vor denen sie schützen.
Überblick
Die integrierte ClearPass-Authentifizierungs- und -Durchsetzungsfunktion der SRX-Serie trägt zusammen mit Aruba ClearPass dazu bei, die Ressourcen Ihres Unternehmens vor tatsächlichen und potenziellen Angriffen zu schützen. Die Firewall der SRX-Serie informiert CPPM über Bedrohungen für Ihre Netzwerkressourcen und Angriffe auf diese durch von ihm gesendete Protokolle. Sie können diese Informationen dann verwenden, um die Konfiguration Ihrer Sicherheitsrichtlinie auf dem CPPM zu bewerten. Basierend auf diesen Informationen können Sie Ihre Sicherheit in Bezug auf einzelne Benutzer oder Geräte verstärken.
Um das Verhalten dieser Funktion zu steuern, müssen Sie die Firewall der SRX-Serie so konfigurieren, dass sie nach Einträgen im Angriffs- und Bedrohungsprotokoll filtert und ratenbegrenzende Bedingungen festlegt.
Sie können das Verhalten dieser Funktion folgendermaßen optimieren:
Legen Sie einen Filter fest, der die Firewall der SRX-Serie anweist, nur Bedrohungs- und Angriffsprotokolle an das CPPM zu senden. Mit diesem Filter können Sie sicherstellen, dass die Firewall der SRX-Serie und der Protokollserver keine irrelevanten Protokolle verarbeiten müssen.
Richten Sie Bedingungen für Ratenbegrenzungen ein, um das Volumen der gesendeten Protokolle zu steuern.
Sie legen den Parameter rate-limit fest, um das Volumen und die Rate zu steuern, mit der Protokolle gesendet werden. Sie können z. B. den Parameter rate-limit auf 1000 festlegen, um anzugeben, dass maximal 1000 Protokolle innerhalb von 1 Sekunde an ClearPass gesendet werden. Wenn in diesem Fall versucht wird, 1015 Protokolle zu senden, wird die Anzahl der Protokolle, die über dem Grenzwert liegen – in diesem Fall 15 Protokolle – gelöscht. Die Protokolle werden nicht in Warteschlangen gestellt oder gepuffert.
Sie können maximal drei Protokollstreams konfigurieren, wobei jedes einzelne Protokoll durch sein Ziel, sein Protokollformat, seinen Filter und seine Ratenbegrenzung definiert ist. Protokollmeldungen werden an alle konfigurierten Protokolldatenströme gesendet. Jeder Stream ist individuell ratenbegrenzt.
Um die Ratenbegrenzung zu unterstützen, werden Protokollmeldungen von der lokalen SPU des Geräts mit einer geteilten Rate gesendet. Während des Konfigurationsprozesses weist die Routing-Engine jeder SPU eine geteilte Rate zu. Die geteilte Rate ist gleich der konfigurierten Rate geteilt durch die Anzahl der SPUs auf dem Gerät:
divided-rate = configured-rate/number-of-SPUs
Topologie
Abbildung 6zeigt die Topologie für dieses Beispiel.
Konfiguration
In diesem Beispiel wird gezeigt, wie Sie einen Filter konfigurieren, um Bedrohungs- und Angriffsprotokolle auszuwählen, die an ClearPass gesendet werden sollen. Außerdem erfahren Sie, wie Sie einen Ratenbegrenzer festlegen, um das Volumen der während eines bestimmten Zeitraums gesendeten Protokolle zu steuern. Es besteht aus diesen Teilen:
- CLI Schnellkonfiguration
- Konfiguration der integrierten ClearPass-Authentifizierung und -Durchsetzung, um nach an das CPPM gesendeten Bedrohungs- und Angriffsprotokollen zu filtern
- Befund
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Anweisungen, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Anweisungen, fügen Sie sie auf der [edit] Hierarchieebene in die CLI ein, und wechseln Sie commit dann aus dem Konfigurationsmodus.
set security log stream threat-attack-logs host 203.0.113.47 set security log mode stream set security log source-interface ge-0/0/1.0 set security log stream to_clearpass format sd-syslog set security log stream to_clearpass filter threat-attack set security log stream to_clearpass rate-limit 1000
Konfiguration der integrierten ClearPass-Authentifizierung und -Durchsetzung, um nach an das CPPM gesendeten Bedrohungs- und Angriffsprotokollen zu filtern
Schritt-für-Schritt-Anleitung
Geben Sie einen Namen für den Protokolldatenstrom und die IP-Adresse seines Ziels an.
[edit security] user@host# set security log stream threat-attack-logs host 203.0.113.47
Legen Sie den Protokollmodus auf Stream fest.
[edit security] user@host# set log mode stream
Legen Sie die Schnittstellennummer der Hostquelle fest.
[edit security] user@host#set log source-interface ge-0/0/1.0
Legen Sie fest, dass für den Protokollstream das strukturierte Syslog-Format zum Senden von Protokollen an ClearPass über syslog verwendet wird.
[ edit security] user@host# set log stream to_clearpass format sd-syslog
Geben Sie den Typ der zu protokollierenden Ereignisse an.
[edit security] user@host# set log stream to_clearpass filter threat-attack
Anmerkung:Diese Konfiguration schließt sich in Bezug auf die aktuelle Kategorie, die für den Filter festgelegt ist, gegenseitig aus.
Legen Sie die Ratenbegrenzung für diesen Datenstrom fest. Der Bereich reicht von 1 bis 65.535.
In diesem Beispiel wird angegeben, dass bis zu 1000 Protokolle pro Sekunde an ClearPass gesendet werden können. Wenn das Maximum erreicht ist, werden alle zusätzlichen Protokolle gelöscht.
[ edit security] user@host# set log stream to_clearpass rate-limit 1000
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration für Schnittstellen, indem Sie den show interfaces Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
mode stream;
source-interface ge-0/0/1.0;
stream threat-attack-logs {
host {
203.0.113.47;
}
}
stream to_clearpass {
format sd-syslog;
filter threat-attack;
rate-limit {
1000;
}
}
Beispiel: Konfigurieren von ClearPass mit JIMS
In diesem Beispiel wird gezeigt, wie Sie Juniper Identity Management Service (JIMS) und ClearPass gleichzeitig für Informationen zur Benutzeridentität aktivieren und die gleichzeitige Funktionsweise von JIMS und ClearPass überprüfen. Außerdem wird in diesem Beispiel erläutert, welche Authentifizierungseinträge den Vorzug haben und wie sich die Zeitüberschreitungen für JIMS und ClearPass verhalten.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Eine Firewall der SRX-Serie.
Eine IP-Adresse des JIMS-Servers.
IP-Adresse des ClearPass-Clients.
Aruba ClearPass Policy Manager (CPPM). Das CPPM ist so konfiguriert, dass es seine lokale Authentifizierungsquelle zur Authentifizierung von Benutzern verwendet.
Anmerkung:Es wird davon ausgegangen, dass das CPPM so konfiguriert ist, dass es der Firewall der SRX-Serie Benutzerauthentifizierungs- und Identitätsinformationen zur Verfügung stellt, einschließlich des Benutzernamens, einer Liste der Namen aller Gruppen, denen der Benutzer angehört, der IP-Adressen der verwendeten Geräte und des Gerätestatustokens.
Überblick
Eine Firewall der SRX-Serie bezieht die Informationen zur Benutzer- oder Geräteidentität aus verschiedenen Authentifizierungsquellen. Nachdem die Firewall der SRX-Serie die Informationen zur Geräteidentität abgerufen hat, erstellt sie einen Eintrag in der Authentifizierungstabelle für die Geräteidentität. Die Firewall der SRX-Serie nutzt JIMS und ClearPass für Informationen zur Benutzeridentität. Durch die gleichzeitige Aktivierung von JIMS und ClearPass fragt eine Firewall der SRX-Serie JIMS ab, um Benutzeridentitätsinformationen von Active Directory und den Exchange-Servern abzurufen, und CPPM überträgt die Benutzerauthentifizierungs- und Identitätsinformationen über die Web-API an die Firewall der SRX-Serie.
Wenn sowohl die JIMS IP-Abfrage als auch die ClearPass-Benutzerabfrage aktiviert sind, fragt die Firewall der SRX-Serie ClearPass immer zuerst ab. Wenn die IP-Benutzer- oder Gruppenzuordnung sowohl von JIMS als auch von CPPM empfangen wird, berücksichtigt eine Firewall der SRX-Serie die neuesten Authentifizierungseinträge und überschreibt die vorhandenen Authentifizierungseinträge. Sie können einen delay-query-time in Sekunden angegebenen Parameter festlegen, mit dem die Firewall der SRX-Serie eine bestimmte Zeit warten kann, bevor sie die Abfrage sendet. Wenn JIMS und ClearPass aktiviert sind, sollte die Verzögerungszeit für beide Seiten den gleichen Wert haben. Andernfalls wird eine Fehlermeldung angezeigt und die Commit-Prüfung schlägt fehl.
Konfiguration
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, damit sie Ihrer Netzwerkkonfiguration entsprechen, und kopieren Sie dann die Befehle, und fügen Sie sie dann in die CLI auf der [edit] Hierarchieebene ein.
set services user-identification identity-management connection primary address 192.0.2.0 set services user-identification identity-management connection primary client-id otest set services user-identification identity-management connection primary client-secret test set services user-identification authentication-source aruba-clearpass user-query web-server cp-server set services user-identification authentication-source aruba-clearpass user-query address 198.51.100.0 set services user-identification authentication-source aruba-clearpass user-query client-id otest set services user-identification authentication-source aruba-clearpass user-query client-secret test set services user-identification authentication-source aruba-clearpass user-query token-api oauth_token/oauth set services user-identification authentication-source aruba-clearpass user-query query-api "user_query/v1/ip/$IP$" set system services webapi user root set system services webapi user password “$ABC123" set system services webapi client 203.0.113.0 set system services webapi https port 8443 set system services webapi https default-certificate set services user-identification authentication-source aruba-clearpass authentication-entry-timeout 30 set services user-identification authentication-source aruba-clearpass invalid-authentication-entry-timeout 30 set services user-identification identity-management authentication-entry-timeout 30 set services user-identification identity-management invalid-authentication-entry-timeout 30 set services user-identification identity-management ip-query query-delay-time 15 set services user-identification authentication-source aruba-clearpass user-query delay-query-time 15
Verfahren
Schritt-für-Schritt-Anleitung
Verwenden Sie die folgenden Konfigurationen, um JIMS und ClearPass gleichzeitig zu konfigurieren:
Konfigurieren Sie die IP-Adresse des primären JIMS-Servers.
[edit services] user@host# set user-identification identity-management connection primary address 192.0.2.0
Konfigurieren Sie die Client-ID, die die SRX-Serie dem primären JIMS-Server im Rahmen der Authentifizierung bereitstellt.
[edit services] user@host# set user-identification identity-management connection primary client-id otest
Konfigurieren Sie den geheimen Clientschlüssel, den die SRX-Serie dem primären JIMS-Server im Rahmen der Authentifizierung bereitstellt.
[edit services] user@host# set user-identification identity-management connection primary client-secret test
-
Konfigurieren Sie Aruba ClearPass als Authentifizierungsquelle für Benutzerabfrageanforderungen und konfigurieren Sie den Namen des ClearPass-Webservers sowie dessen IP-Adresse. Die Firewall der SRX-Serie benötigt diese Informationen, um eine Verbindung zum ClearPass-Webserver herzustellen.
[edit services] user@host# set user-identification authentication-source aruba-clearpass user-query web-server cp-server address 198.51.100.0
-
Konfigurieren Sie die Client-ID und den geheimen Clientschlüssel, die die Firewall der SRX-Serie benötigt, um ein Zugriffstoken abzurufen, das für Benutzerabfragen erforderlich ist.
[edit services] user@host# set user-identification authentication-source aruba-clearpass user-query client-id otest user@host# set user-identification authentication-source aruba-clearpass user-query client-secret test
Konfigurieren Sie die Token-API, die beim Generieren der URL zum Abrufen eines Zugriffstokens verwendet wird.
[edit services] user@host# set user-identification authentication-source aruba-clearpass user-query token-api oauth_token/oauth
Konfigurieren Sie die Abfrage-API, die zum Abfragen individueller Benutzerauthentifizierungs- und Identitätsinformationen verwendet werden soll.
[edit services] user@host# set user-identification authentication-source aruba-clearpass user-query query-api "user_query/v1/ip/$IP$"
Konfigurieren Sie den Benutzernamen und das Kennwort für den Web-API-Daemon für das Konto.
[edit system services] user@host# set webapi user user password “$ABC123"
Konfigurieren Sie die Web-API-Clientadresse, d. h. die IP-Adresse des Datenports des ClearPass-Webservers.
[edit system services] user@host# set webapi client 203.0.113.0
Konfigurieren Sie den HTTPS-Dienstport des Web-API-Prozesses.
[edit system services] user@host# set webapi https port 8443 user@host# set webapi https default-certificate
Konfigurieren Sie einen Zeitüberschreitungswert für den Authentifizierungseintrag für Aruba ClearPass.
[edit services] user@host# set user-identification authentication-source aruba-clearpass invalid-authentication-entry-timeout 30
Konfigurieren Sie einen unabhängigen Zeitüberschreitungswert, der ungültigen Benutzerauthentifizierungseinträgen in der Authentifizierungstabelle der SRX-Serie für Aruba ClearPass zugewiesen werden soll.
[edit services] user@host# set user-identification identity-management authentication-entry-timeout 30
Konfigurieren Sie einen unabhängigen Zeitüberschreitungswert, der ungültigen Benutzerauthentifizierungseinträgen in der Authentifizierungstabelle der SRX-Serie für JIMS zugewiesen werden soll.
[edit services] user@host# set user-identification identity-management invalid-authentication-entry-timeout 30
-
Legen Sie einen
query-delay-timein Sekunden angegebenen Parameter fest, mit dem die Firewall der SRX-Serie eine bestimmte Zeit warten kann, bevor sie die Abfrage sendet.[edit services] user@host# set user-identification identity-management ip-query query-delay-time 15
-
Legen Sie einen
query-delay-timein Sekunden angegebenen Parameter fest, mit dem die Firewall der SRX-Serie eine bestimmte Zeit warten kann, bevor sie die Abfrage sendet.[edit services] user@host# set user-identification authentication-source aruba-clearpass user-query delay-query-time 15
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den Befehl eingeben. show system services webapi Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit ]
user@host# show system services webapi
user {
device;
password "$ABC123"; ## SECRET-DATA
}
client {
203.0.113.0;
}
https {
port 8443;
default-certificate;
}
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show services user-identification authentication-source aruba-clearpass Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit ]
user@host# show services user-identification authentication-source aruba-clearpass
authentication-entry-timeout 30;
invalid-authentication-entry-timeout 30;
user-query {
web-server {
cp-server;
address 10.208.164.31;
}
client-id otest;
client-secret "$ABC123"; ## SECRET-DATA
token-api oauth_token/oauth;
query-api "user_query/v1/ip/$IP$";
delay-query-time 15;
}
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show services user-identification identity-management Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit ]
user@host# show services user-identification identity-management
authentication-entry-timeout 30;
invalid-authentication-entry-timeout 30;
connection {
primary {
address 10.208.164.137;
client-id otest;
client-secret "$ABC123"; ## SECRET-DATA
}
}
ip-query {
query-delay-time 15;
}
Wenn Sie mit der Konfiguration der Geräte fertig sind, wechseln Sie commit aus dem Konfigurationsmodus.
Verifizierung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
- Verifizieren von JIMS-Authentifizierungseinträgen
- Überprüfen von ClearPass-Authentifizierungseinträgen
- Überprüfen von Geräteeinträgen nach Domäne
- Überprüfen, ob der ClearPass-Webserver online ist
- Überprüfen, ob der JIMS-Server online ist
Verifizieren von JIMS-Authentifizierungseinträgen
Zweck
Stellen Sie sicher, dass die Authentifizierungstabelle für die Geräteidentität für JIMS aktualisiert wurde.
Aktion
Geben Sie den show services user-identification authentication-table authentication-source identity-management source-name "JIMS - Active Directory" node 0 Befehl ein.
show services user-identification authentication-table authentication-source identity-management source-name "JIMS - Active Directory" node 0 node0: -------------------------------------------------------------------------- Logical System: root-logical-system Domain: ad-jims-2008.com Total entries: 5 Source IP Username groups(Ref by policy) state 192.0.2.2 administrator dow_group_00001,dow_group_0000 Valid 192.0.2.4 administrator dow_group_00001,dow_group_0000 Valid 192.0.2.5 administrator dow_group_00001,dow_group_0000 Valid 192.0.2.7 administrator dow_group_00001,dow_group_0000 Valid 192.0.2.11 administrator dow_group_00001,dow_group_0000 Valid
Bedeutung
Die Ausgabe zeigt an, dass die Authentifizierungseinträge aktualisiert wurden.
Überprüfen von ClearPass-Authentifizierungseinträgen
Zweck
Vergewissern Sie sich, dass die Authentifizierungstabelle für die Geräteidentität für ClearPass aktualisiert wurde.
Aktion
Geben Sie den show services user-identification authentication-table authentication-source aruba-clearpass node 0 Befehl ein, um zu überprüfen, ob die Einträge aktualisiert wurden.
show services user-identification authentication-table authentication-source aruba-clearpass node 0 node0: -------------------------------------------------------------------------- Logical System: root-logical-system Domain: juniper.net Total entries: 1 Source IP Username groups(Ref by policy) state 2001:db8::::63bf:3fff:fdd2 ipv6_user01 ipv6_group1 Valid
Bedeutung
Die Ausgabe zeigt an, dass die Authentifizierungseinträge für ClearPass aktualisiert werden.
Überprüfen von Geräteeinträgen nach Domäne
Zweck
Stellen Sie sicher, dass alle authentifizierten Geräte zur Domäne gehören.
Aktion
Geben Sie den show services user-identification device-information table all domain juniper.net node 0 Befehl ein.
show services user-identification device-information table all domain juniper.net node 0 node0: -------------------------------------------------------------------------- Domain: juniper.net Total entries: 1 Source IP Device ID Device-Groups 2001:db8:4136:e378:8000:63bf:3fff:fdd2 dev01 device_group1
Bedeutung
In der Ausgabe werden alle authentifizierten Geräte angezeigt, die zur Domäne gehören.
Überprüfen, ob der ClearPass-Webserver online ist
Zweck
Stellen Sie sicher, dass der ClearPass-Webserver online ist.
Aktion
Geben Sie den show services user-identification authentication-source aruba-clearpass user-query status Befehl ein.
show services user-identification authentication-source aruba-clearpass user-query status
node1:
--------------------------------------------------------------------------
Authentication source: aruba-clearpass
Web server Address: 198.51.100.0
Status: Online
Current connections: 0
Bedeutung
Die Ausgabe zeigt an, dass der ClearPass-Webserver online ist.
Überprüfen, ob der JIMS-Server online ist
Zweck
Stellen Sie sicher, dass der JIMS-Server online ist.
Aktion
Geben Sie den show services user-identification identity-management status Befehl ein.
show services user-identification identity-management status
node1:
--------------------------------------------------------------------------
Primary server :
Address : 192.0.2.0
Port : 443
Connection method : HTTPS
Connection status : Online
Secondary server :
Address : 192.0.2.1
Port : 443
Connection method : HTTPS
Connection status : Offline
Last received status message : OK (200)
Access token : P1kAlMiG2Kb7FzP5tM1QBI6DSS92c31Apgjk9lV
Token expire time : 2018-04-12 06:57:37
Bedeutung
Die Ausgabe zeigt an, dass der JIMS-Server online ist.