Intégrez Juniper Mist™ à Aruba ClearPass Guest pour un contrôle d’accès amélioré

Suivez cette procédure pour intégrer Juniper Mist™ à Aruba ClearPass Guest™ pour une authentification sécurisée des utilisateurs.

Juniper Mist™ peut s’intégrer de manière transparente aux plateformes de gestion des accès réseau, telles qu’Aruba ClearPass Guest, afin de tirer parti d’options étendues de personnalisation du contrôle d’accès pour les utilisateurs invités sur le réseau.

Standards-Based Integration with Aruba ClearPass

Remarque :

Pour plus d’informations sur les produits Aruba, consultez les ressources du site d’assistance Aruba, telles que À propos de ClearPass Guest.

Pour intégrer Juniper Mist™ à Aruba ClearPass Guest :

Accédez à la console d’administration d’Aruba ClearPass Policy Manager et créez un profil de changement d’autorisation (CoA) pour les points d’accès (AP) Mist.

Remarque :

Pour obtenir de l’aide, consultez Configuration des profils d’application sur le site d’assistance Aruba.

Recherchez le profil [Cisco – Reauthenticate-Session], sélectionnez-le, puis copiez-le.
Modifiez la nouvelle copie de ce profil. Renommez-le en [Mist - Reauthenticate-Session].

Configurez les attributs suivants pour le profil Mist CoA :

Tableau 1 : Tableau 1 :
Le type	Nom	Valeur
Rayon : IETF	AppelantStation-Id	%{radius :IETF :Calling-Station :id}
Rayon : Cisco	Cisco-AVPair	abonné :command=réauthentification
Rayon : IETF	NAS-IPAddress	%{radius :IETF :Adresse-IP NAS}
Rayon : IETF	Horodatage des événements	%{Authorization :[Source de l’heure] :Now}

Créez une page d’inscription des invités sur le gestionnaire d’invités ClearPass en dupliquant le modèle de page Web d’auto-inscription par défaut. Pour obtenir de l’aide, accédez aux ressources du site d’assistance Aruba, telles que Accès aux formulaires de personnalisation de l’auto-inscription.
1. Pour l’instance d’auto-enregistrement, sélectionnez Activer l’auto-enregistrement, puis enregistrez les modifications.
2. Activez la confirmation du sponsor puisque vous activez un flux de travail d'invité sponsorisé.
3. Configurez un délai de connexion, ce qui donnera à ClearPass le temps de renvoyer le CoA à l’AP Mist et d’autoriser à nouveau un client invité nouvellement enregistré. Définissez un délai de connexion de 10 secondes (tout délai inférieur peut entraîner un comportement incohérent avec ClearPass). Enregistrez ensuite les modifications. Pour obtenir de l’aide, accédez aux ressources du site d’assistance Aruba, telles que Modification des pages d’auto-inscription.
4. Configurez les paramètres du fournisseur du NAS comme suit :
  - Activé : activer la connexion des invités à un serveur d’accès réseau
  - URL par défaut : saisissez http://www.mist.com.
  - Remplacer la destination : sélectionnez Forcer la destination par défaut pour tous les clients.
  Pour obtenir de l’aide, accédez aux ressources du site d’assistance Aruba, telles que Modification et activation des propriétés de connexion NAS.
Créez une configuration Guest Access avec la mise en cache MAC et parcourez les onglets pour configurer les paramètres comme suit :
- Préfixe de nom : Mist
- SSID sans fil - Accès invité
- Adresse IP du contrôleur : ajoutez le sous-réseau IP de gestion des points d’accès Mist pour leur permettre de communiquer avec ClearPass via RADIUS.
- Définissez les délais d’expiration par défaut pour chaque type d’invité, selon vos besoins.
- Sélectionnez Filtrer l’application basée sur l’ID et indiquez les noms des rôles des invités.
Pour obtenir de l’aide, accédez aux ressources du site d’assistance Aruba, telles que l’authentification invitée avec le modèle de service de mise en cache MAC.
Sélectionnez Ajouter un service, puis vous verrez que de nouveaux services ont été ajoutés.
Modifier les profils et stratégies d’application existants afin d’intégrer les AP Mist. Pour obtenir de l’aide, accédez aux ressources du site d’assistance Aruba, telles que Modification d’un profil d’application existant.
1. Modifiez le profil de portail captif Mist par défaut et dans l’onglet attributs :
  - Supprimez l’attribut Filter-id existant.
  - Ajoutez un nouvel attribut url-redirect pour indiquer à l’AP où un client doit être redirigé. Suivez cette syntaxe lors de la configuration de la valeur :
  - Enregistrez les modifications.
  Modifiez également le profil de l’appareil invité Mist et supprimez le dernier attribut précréé pendant l’assistant :
2. Modifiez le profil d’appareil invité Mist et supprimez le dernier attribut qui a été créé automatiquement.
3. Accédez à Stratégies d’application et modifiez la Politique d’application de l’authentification MAC Mist pour envoyer une URL de redirection à tout client inconnu/non enregistré :
  - Dans l’onglet Application, sélectionnez Profil du portail captif Mist comme profil par défaut.
  - Enregistrez les modifications.
Créez une nouvelle stratégie d’application pour gérer l’authentification des utilisateurs invités via le portail captif hébergé par ClearPass. Pour obtenir de l’aide, accédez aux ressources du site d’assistance Aruba, telles que Configuration des stratégies d’application.
1. Définissez le type d’application sur WEBAUTH.
2. Définissez le profil par défaut sur [RADIUS_CoA] [Mist – Réauthentifier la session].
3. Cliquez sur Suivant, puis créez une règle pour mettre en cache un MAC client une fois qu’un utilisateur est authentifié en tant qu’invité. Choisissez la durée spécifiée dans les paramètres du gestionnaire d’invités.
4. Enregistrez les modifications.
Créez un service WebAuth. Pour obtenir de l’aide, accédez aux ressources du site d’assistance Aruba, telles que Ajout de services.
1. Dans l’onglet Service, configurez les éléments suivants :
  - Type : sélectionnez Authentification Web.
  - Plus d’options : sélectionnez Autorisation.
  - Ajoutez une autre condition à faire correspondre sur la page invité dont le nom contient « Mist ».
  - Cliquez sur Suivant.
2. Dans l’onglet Authentification :
  - Sélectionnez [Référentiel d’utilisateurs invités] comme source d’authentification.
  - Cliquez sur Suivant.
3. Dans l’onglet Autorisation :
  - Ajoutez [Endpoints, Repository] et [Time Source] en tant que sources d’autorisation supplémentaires.
  - Cliquez sur Suivant.
4. Dans l’onglet Rôles :
  - Sélectionnez la stratégie de mappage de rôles « Authentification des utilisateurs Mist avec mappage de rôles de mise en cache MAC ».
  - Cliquez sur Suivant.
5. Dans l’onglet Application :
  - Sélectionnez la stratégie d’application que vous avez créée à l’étape précédente.
  - Cliquez sur Enregistrer.
Sur le portail Juniper Mist, accédez au WLAN ou créez-en un nouveau.

Remarque :
Pour obtenir de l’aide, consultez Configurer un modèle WLAN ou Ajouter un WLAN.
Entrez le même SSID que celui que vous avez configuré dans ClearPlass.
Dans la section Sécurité :
- Sélectionnez Libre accès.
Remarque : Si vous ne voyez pas l’option Open Access, désactivez la sécurité 6 GHz et Wi-Fi 7.
- Sélectionnez Authentification de l’adresse MAC par recherche RADIUS.
- Sélectionnez Accès invité avec contournement de l’authentification Mac.
- Dans le champ Noms d’hôte autorisés , entrez le nom de domaine complet du serveur ClearPass vers lequel un utilisateur invité sera redirigé. Ajoutez également tous les noms de domaine complets supplémentaires qui doivent être autorisés avant l’authentification de l’utilisateur.
Dans la section Serveur CoA/DM, sélectionnez Activé, cliquez sur Ajouter un serveur, entrez l’adresse IP, le port et le secret partagé pour le serveur ClearPass, puis cochez la case pour enregistrer les modifications.
Enregistrez les paramètres du WLAN.

Remarque :
Si le WLAN figure dans un modèle WLAN, assurez-vous d'avoir appliqué le modèle au(x) site(s) souhaité(s).
Vérifiez que l’intégration a réussi en consultant le suivi des accès dans le gestionnaire de stratégies Aruba ClearPass. Pour obtenir de l’aide, accédez aux ressources du site d’assistance Aruba, telles que Surveillance en direct : Suivi des accès.