SUR CETTE PAGE
Exemple : configuration de l’authentification Web centrale avec les commutateurs EX Series et Aruba ClearPass
Cet exemple de configuration montre comment utiliser les commutateurs EX Series et Aruba ClearPass pour implémenter l’authentification Web centralisée des utilisateurs invités. Plus précisément, il illustre comment utiliser les fonctions de commutateur EX Series suivantes conjointement avec Aruba ClearPass :
Le filtre de pare-feu intégré JNPR_RSVD_FILTER_CWA, qui permet à un point de terminaison invité qui n’a pas encore été authentifié d’accéder aux services requis pour l’authentification Web centrale tout en bloquant l’accès au reste du réseau.
Le réseau virtuel Juniper-CWA-Redirect-URL RADIUS, qui permet à Aruba ClearPass de transmettre l’URL de redirection au commutateur dans le cadre du processus d’authentification.
Prise en charge du CoA RADIUS, qui permet à un commutateur EX Series de modifier dynamiquement le filtre de pare-feu en vigueur pour un point de terminaison invité une fois le point de terminaison authentifié.
Cette rubrique couvre :
Exigences
Cet exemple utilise les composants matériels et logiciels suivants pour l’infrastructure de stratégie :
Un commutateur EX4300 exécutant Junos OS version 15.1R3 ou ultérieure
Une plateforme Aruba ClearPass Policy Manager exécutant la version 6.3.3.63748 ou ultérieure
Présentation et topologie
Cet exemple de configuration réseau utilise la topologie illustrée à la figure 1. Un ordinateur portable invité se connecte au port ge-0/0/22 d’un commutateur EX4300. Le serveur Aruba ClearPass fournit des services ClearPass Guest et ClearPass Policy Management.
L’authentification 802.1X et MAC RADIUS est activée sur le port ge-0/0/22. Étant donné que l’ordinateur portable invité n’a pas de client 802.1X, le commutateur ne reçoit aucun paquet EAPoL de l’ordinateur portable et l’authentification 802.1X échoue. Le commutateur EX4300 tente ensuite automatiquement l’authentification MAC RADIUS. Une stratégie d’application MAC RADIUS dans Aruba ClearPass est configurée pour envoyer un message d’acceptation d’accès RADIUS aux clients inconnus qui tentent une authentification MAC RADIUS, ainsi que le nom du filtre intégré JNPR_RSVD_FILTER_CWA et l’URL de redirection de la page de connexion de l’invité Aruba ClearPass.
Lorsque l’utilisateur invité ouvre un navigateur et tente d’accéder à une page Web, le commutateur EX4300 redirige le navigateur vers la page de connexion Invité Aruba ClearPass, où l’invité entre les informations d’identification de l’invité. Une stratégie d’application d’authentification Web dans Aruba ClearPass est configurée pour ajouter le point de terminaison invité au référentiel de point de terminaison et pour envoyer un message CoA RADIUS au commutateur. Ce message indique au commutateur de remplacer le filtre de pare-feu associé au point de terminaison par guest_access_policy_1, qui est configuré sur le commutateur. Ce filtre permet à l’invité d’accéder à tout, sauf au réseau interne.
Configuration
Cette section fournit des instructions étape par étape pour :
- Configuration du commutateur EX4300
- Configuration de l’invité Aruba ClearPass
- Configuration d’Aruba ClearPass Policy Manager
Configuration du commutateur EX4300
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez-les dans l’interface de ligne de commande au niveau de la hiérarchie, puis entrez commit à partir du mode de [edit] configuration.
[edit] set access radius-server 10.105.5.153 dynamic-request-port 3799 set access radius-server 10.105.5.153 secret password set access radius-server 10.105.5.153 source-address 10.105.5.91 set access profile CP-Test-Profile accounting-order radius set access profile CP-Test-Profile authentication-order radius set access profile CP-Test-Profile radius authentication-server 10.105.5.153 set access profile CP-Test-Profile radius accounting-server 10.105.5.153 set access profile CP-Test-Profile radius options nas-identifier 10.105.5.91 set system services web-management http set system services web-management https system-generated-certificate set protocols dot1x authenticator authentication-profile-name CP-Test-Profile set protocols dot1x authenticator interface ge-0/0/22.0 mac-radius set protocols dot1x authenticator interface ge-0/0/22.0 supplicant multiple set vlans v100 description "Quarantine VLAN" set vlans v100 vlan-id 100 set interfaces ge-0/0/22 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/22 unit 0 family ethernet-switching vlan members v100 set firewall family ethernet-switching filter guest_access_policy_1 term Block_Internal from ip-destination-address 192.168.0.0/16 set firewall family ethernet-switching filter guest_access_policy_1 term Block_Internal then discard set firewall family ethernet-switching filter guest_access_policy_1 term Allow_All then accept
Procédure étape par étape
Voici les étapes générales de configuration du commutateur EX4300 :
Configurez la connexion à Aruba ClearPass Policy Manager.
Créez le profil d’accès utilisé par le protocole 802.1X. Le profil d’accès indique au protocole 802.1X le serveur d’authentification à utiliser, ainsi que les méthodes et l’ordre d’authentification.
Activez les services HTTP et HTTPS.
Configurez le protocole 802.1X.
Configurez le VLAN utilisé par les points de terminaison invités.
Configurez la commutation Ethernet sur le port d’accès.
Créez la stratégie de pare-feu qui bloque l’accès au réseau interne.
Pour configurer le commutateur EX4300 :
Fournissez les informations de connexion au serveur RADIUS.
[edit access] user@EX4300# set radius-server 10.105.5.153 dynamic-request-port 3799 user@EX4300# set radius-server 10.105.5.153 secret password user@EX4300# set radius-server 10.105.5.153 source-address 10.105.5.91
Configurez le profil d’accès.
[edit access] user@EX4300# set profile CP-Test-Profile accounting-order radius user@EX4300# set profile CP-Test-Profile authentication-order radius user@EX4300# set profile CP-Test-Profile radius authentication-server 10.105.5.153 user@EX4300# set profile CP-Test-Profile radius accounting-server 10.105.5.153 user@EX4300# set profile CP-Test-Profile radius options nas-identifier 10.105.5.91
Activez les services HTTP et HTTPS. Ces services doivent être activés pour la redirection d’URL.
[edit system services] user@EX4300# set system services web-management http user@EX4300# set system services web-management https system-generated-certificate
Configurez le protocole 802.1X pour utiliser CP-Test-Profile et activez le protocole sur chaque interface d’accès. En outre, configurez les interfaces pour prendre en charge l’authentification MAC RADIUS et autoriser plusieurs demandeurs, chacun devant être authentifié individuellement.
Par défaut, le commutateur tente d’abord l’authentification 802.1X. S’il ne reçoit aucun paquet EAP du point de terminaison, indiquant que le point de terminaison n’a pas de demandeur 802.1X, ou si l’authentification 802.1X échoue, il essaie alors l’authentification MAC RADIUS.
[edit protocols] user@EX4300# set dot1x authenticator authentication-profile-name CP-Test-Profile user@EX4300# set dot1x authenticator interface ge-0/0/22.0 mac-radius user@EX4300# set dot1x authenticator interface ge-0/0/22.0 supplicant multiple
Configurez le VLAN utilisé dans cet exemple.
[edit vlans] user@EX4300# set v100 description "Quarantine VLAN" user@EX4300# set v100 vlan-id 100
Configurez le port d’accès.
Le port d’accès est configuré pour être dans VLAN v100, le VLAN de quarantaine. Ce VLAN sera utilisé par le point de terminaison si Aruba ClearPass n’envoie pas d’informations VLAN dynamiques lorsqu’il authentifie le point de terminaison.
[edit interfaces] user@EX4300# set ge-0/0/22 unit 0 family ethernet-switching interface-mode access user@EX4300# set ge-0/0/22 unit 0 family ethernet-switching vlan members v100
Configurez un filtre de pare-feu, guest_access_policy_1, à utiliser pour le point de terminaison une fois que les informations d’identification de l’invité ont été authentifiées par Aruba ClearPass Guest.
Ce filtre empêche le point de terminaison d’accéder au réseau interne (192.168.0.0/16), tout en autorisant l’accès à Internet.
[edit firewall] user@EX4300# set family ethernet-switching filter guest_access_policy_1 term Block_Internal from ip-destination-address 192.168.0.0/16 user@EX4300# set family ethernet-switching filter guest_access_policy_1 term Block_Internal then discard user@EX4300# set family ethernet-switching filter guest_access_policy_1 term Allow_All then accept
Résultats
En mode configuration, confirmez votre configuration en entrant les commandes suivantes show .
user@EX4300# show access
radius-server {
10.105.5.153 {
dynamic-request-port 3799;
secret "$9$FYxf3A0Ehrv87yl7Vs4DjfTz3Ct0BIcre"; ## SECRET-DATA
source-address 10.105.5.91;
}
}
profile CP-Test-Profile {
accounting-order radius;
authentication-order radius;
radius {
authentication-server 10.105.5.153;
accounting-server 10.105.5.153;
options {
nas-identifier 10.105.5.91;
}
}
}
user@EX4300# show system services
web-management {
http;
https {
system-generated-certificate;
}
}
user@EX4300# show protocols
dot1x {
authenticator {
authentication-profile-name CP-Test-Profile;
interface {
ge-0/0/22.0 {
supplicant multiple;
mac-radius;
}
}
}
}
user@EX4300# show interfaces
ge-0/0/22 {
unit 0 {
family ethernet-switching {
vlan {
members v100;
}
}
}
}
user@EX4300# show vlans
v100 {
description "Quarantine VLAN";
vlan-id 100;
}
user@EX4300# show firewall
family ethernet-switching {
filter guest_access_policy_1 {
term Block_Internal {
from {
ip-destination-address {
192.168.0.0/16;
}
}
then discard;
}
term Allow_All {
then accept;
}
}
}
Si vous avez terminé de configurer l’appareil, entrez commit à partir du mode de configuration.
Configuration de l’invité Aruba ClearPass
Procédure étape par étape
Les étapes générales de configuration d’Aruba ClearPass Guest sont les suivantes :
Configurez le compte d’utilisateur invité.
Configurez la page de connexion invité.
Pour configurer Aruba ClearPass Guest :
Connectez-vous à ClearPass Guest. Par exemple :
https://10.105.5.153/guest/
Configurez le compte d’utilisateur invité.
Procédure étape par étape
Cliquez sur Créer un nouveau compte invité.
Fournissez les détails du compte d’utilisateur invité, comme indiqué ci-dessous. Assurez-vous de noter le mot de passe, qui est généré automatiquement.
Cliquez sur Créer un compte.
Configurez la page de connexion à l’accès invité.
Procédure étape par étape
Sélectionnez Configuration > les connexions Web.
Note:Si vous utilisez une version récente d’Aruba ClearPass Guest, vous devrez peut-être sélectionner Configuration > Pages > Connexions Web.
Dans la page Connexions Web, cliquez sur Créer une nouvelle page de connexion Web.
Dans l’éditeur de connexion Web, fournissez un nom pour la page de connexion Web que vous créez, spécifiez le nom de la page de connexion tel qu’il apparaît dans l’URL et définissez Méthode de connexion sur Initié par le serveur – Changement d’autorisation (RFC 3576) envoyée au contrôleur.
Dans la section Formulaire de connexion de la page de connexion Web, réglez Pre-Auth Check sur Aucun – aucune vérification supplémentaire ne sera effectuée.
Dans la section Destination par défaut, entrez une URL par défaut vers laquelle l’invité est redirigé une fois l’authentification réussie. Dans cet exemple, l’invité est redirigé vers la page d’accueil de Juniper Networks après son authentification.
Configuration d’Aruba ClearPass Policy Manager
Procédure étape par étape
Les étapes générales de configuration d’Aruba ClearPass sont les suivantes :
Modifiez le fichier de dictionnaire RADIUS de Juniper Networks afin qu’il inclue de nouveaux attributs RADIUS Juniper Networks.
Ajoutez l’EX4300 en tant que périphérique réseau.
Créez les profils d’application suivants :
Profil appliqué après l’authentification MAC RADIUS.
Profil appliqué après l’authentification Web centrale.
Créez deux stratégies d’application :
Stratégie appelée lorsque l’authentification MAC RADIUS est utilisée.
Stratégie appelée lorsque l’authentification Web centrale est utilisée.
Définissez le service d’authentification MAC RADIUS et le service d’authentification Web.
Pour configurer Aruba ClearPass :
Mettez à jour le fichier de dictionnaire RADIUS de Juniper Networks.
Un fichier dictionnaire RADIUS Juniper Network est préinstallé sur Aruba ClearPass. Junos OS version 15.1R3 pour les commutateurs EX Series ajoute la prise en charge de trois nouveaux VSA Juniper Networks, qui doivent être ajoutés au fichier de dictionnaire.
Procédure étape par étape
Dans Aruba ClearPass, accédez à Administration > Dictionnaires > RADIUS.
Dans la fenêtre Dictionnaires RADIUS, utilisez le champ Filtre pour rechercher Juniper sous Nom du fournisseur.
Cliquez sur le nom du dictionnaire Juniper, puis sur Exporter pour enregistrer le RadiusDictionary.xml fichier sur votre bureau.
Copiez les trois attributs suivants, collez-les dans RadiusDictionary.xml, puis enregistrez le fichier.
<Attribute profile="in out" type="String" name="Juniper-CWA-Redirect-URL" id="50" /> <Attribute profile="in out" type="String" name="Juniper-Switching-Filter" id="48" /> <Attribute profile="in out" type="String" name="Juniper-VoIP-Vlan" id="49" />
Le fichier de dictionnaire doit ressembler à ceci lorsque vous terminez le collage :
Importez le fichier de dictionnaire dans Aruba ClearPass en cliquant
dans la fenêtre Dictionnaires RADIUS et en accédant au fichier.
Après avoir importé le fichier, le fichier de dictionnaire Juniper doit ressembler à ceci :
Ajoutez le commutateur EX4300 en tant que périphérique réseau.
Procédure étape par étape
Sous Configuration > périphériques > réseau, cliquez sur Ajouter.
Sous l’onglet Périphérique, entrez le nom d’hôte et l’adresse IP du commutateur ainsi que le secret partagé RADIUS que vous avez configuré sur le commutateur. Définissez le champ Nom du fournisseur sur Juniper.
Créez le profil d’application à utiliser pour l’authentification MAC RADIUS.
Ce profil fournit au commutateur le nom de la JNPR_RSVD_FILTER_CWA de filtre de pare-feu intégrée et l’URL de redirection pour Aruba ClearPass Guest.
Procédure étape par étape
Sous Profils > Configuration > Application, cliquez sur Ajouter.
Sous l’onglet Profil, définissez Modèle sur Application basée sur RADIUS et tapez le nom du profil, Guest_Access_Portal_Enforcement, dans le champ Nom.
Sous l’onglet Attributs, configurez les attributs suivants :
Juniper-CWA-Redirect-URL: saisissez l’URL suivante :
http://10.105.5.153/guest/guest-access.php?&mac=%{Radius:IETF:Calling-Station-Id}Cette URL doit contenir l’adresse IP du serveur Aruba ClearPass Invité. Il transmet également l’adresse MAC du point de terminaison à l’invité ClearPass (
Radius:IETF:Calling-Station-Id).Filter-Id: saisissez le nom de filtre suivant :
JNPR_RSVD_FILTER_CWA
Configurez un profil d’application à utiliser pour l’authentification Web centralisée.
Ce profil est configuré en tant que profil CoA (Change of Authorization) RADIUS. Il indique à Aruba ClearPass d’envoyer un CoA RADIUS au commutateur, l’informant de modifier le filtre de pare-feu en vigueur pour le point de terminaison de JNPR_RSVD_FILTER_CWA à guest_access_policy_1.
Procédure étape par étape
Sous Profils > Configuration > Application, cliquez sur Ajouter.
Sous l’onglet Profil, définissez Modèle sur Changement d’autorisation (CoA) RADIUS et tapez le nom du profil, Guest_Access_CoA_Profile, dans le champ Nom.
Sous l’onglet Attributs, définissez Select RADIUS CoA Template (Sélectionner le modèle CoA RADIUS ) sur IETF - Generic-CoA-IETF et entrez les attributs comme indiqué. Toutes les valeurs doivent être saisies ou copiées-collées à partir de ce document. Les valeurs n’apparaissent pas dans les listes de sélection.
%{Radius:IETF:Calling-Station-Id} %{Radius:IETF:User-Name} guest_access_policy_1
Configurez la stratégie d’application de l’authentification MAC RADIUS.
La stratégie MAC RADIUS indique à Aruba ClearPass d’appliquer le profil Guest_Access_Portal_Enforcement à tous les points de terminaison soumis à l’authentification MAC RADIUS qui ne sont pas déjà connus de ClearPass, c’est-à-dire qui ne se trouvent pas dans le référentiel de point de terminaison.
Procédure étape par étape
Sous Configuration > Stratégies > d’application, cliquez sur Ajouter.
Sous l’onglet Application, saisissez le nom de la stratégie (Juniper-MAC-Auth-Policy) et définissez le profil par défaut sur le profil prédéfini [Refuser l’accès].
Sous l’onglet Règles, cliquez sur Ajouter une règle et ajoutez la règle affichée.
Cette règle permet au profil Guest_Access_Portal_Enforcement de prendre effet pour les points de terminaison qui ne sont pas connus d’Aruba ClearPass.
Configurez la stratégie d’application de l’authentification Web.
Cette politique prend effet une fois que l’invité est redirigé vers l’invité Aruba ClearPass et que l’invité ClearPass authentifie l’invité. Il indique à Aruba ClearPass d’ajouter le point de terminaison au référentiel de point de terminaison et d’appliquer la Guest_Access_CoA_Profile.
Procédure étape par étape
Sous Configuration > Stratégies > d’application, cliquez sur Ajouter.
Sous l’onglet Application, tapez le nom de la stratégie (Guest_Auth_Enforcement_Policy) et définissez Profil par défaut sur [ Post-authentification][Mettre à jour le point de terminaison connu]. Il s’agit d’un profil prédéfini qui entraîne l’ajout du point de terminaison en tant que point de terminaison connu dans le référentiel de point de terminaison.
Sous l’onglet Règles, cliquez sur Ajouter une règle et ajoutez la règle affichée.
Cette règle indique à Aruba ClearPass d’appliquer le profil d’application Guest_Access_CoA_Profile à tout point de terminaison que l’invité ClearPass a affecté au rôle Invité.
Configurez le service d’authentification MAC RADIUS.
La configuration de ce service entraîne l’exécution de l’authentification MAC RADIUS lorsque les attributs Nom d’utilisateur RADIUS et Client-MAC-Address reçus ont la même valeur.
Procédure étape par étape
Sous Configuration > Services, cliquez sur Ajouter.
Sous l’onglet Services, remplissez les champs comme indiqué.
Sous l’onglet Authentification :
Supprimez [ MAC AUTH ] de la liste Méthodes d’authentification et ajoutez [EAP MD5] à la liste.
Sélectionnez [ Référentiel de points de terminaison] [Base de données SQL locale] dans la liste Sources d’authentification.
Sous l’onglet Application, sélectionnez Juniper-MAC-Auth-Policy.
Configurez le service d’authentification Web.
Procédure étape par étape
Sous Configuration > Services, cliquez sur Ajouter.
Sous l’onglet Service, remplissez les champs comme indiqué.
La règle de service est la règle de service par défaut lorsque vous sélectionnez Authentification Web. Il permet les demandes d’authentification Web de n’importe quel client.
Sous l’onglet Authentification, définissez Sources d’authentification sur [Référentiel utilisateur invité][Base de données SQL locale].
Sous l’onglet Application, définissez Stratégie d’application sur Guest_Auth_Enforcement_Policy.
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification de l’authentification Web centrale
- Vérification du statut des demandes d’authentification sur Aruba ClearPass Policy Manager
Vérification de l’authentification Web centrale
But
Vérifiez que le navigateur de l’utilisateur invité est redirigé vers Aruba ClearPass Guest pour authentification et que l’invité est correctement authentifié après avoir entré les informations d’identification de l’invité.
Action
Connectez un ordinateur portable au port ge-0/0/22 du commutateur EX4300.
Ouvrez un navigateur Web sur l’ordinateur portable et essayez d’accéder à une page Web.
La page de connexion ClearPass Guest doit s’afficher comme indiqué.
Sur le commutateur EX Series, entrez la commande suivante
show:user@EX4300> show dot1x interface ge-0/0/22 detail ge-0/0/22.0 Role: Authenticator Administrative state: Auto Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Enabled Mac Radius Restrict: Disabled Mac Radius Authentication Protocol: EAP-MD5 Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: not configured Number of connected supplicants: 1 Supplicant: 0050569b037f, 00:50:56:9B:03:7F Operational state: Authenticated Backend Authentication state: Idle Authentication method: CWA Authentication Authenticated VLAN: v100 Dynamic Filter: JNPR_RSVD_FILTER_CWA Session Reauth interval: 3600 seconds Reauthentication due in 3566 seconds Session Accounting Interim Interval: 600 seconds Accounting Update due in 566 seconds CWA Redirect URL : http://10.105.5.153/guest/guest-access.php?&mac=00-50-56-9b-03-7fLe résultat indique que le point de terminaison a été authentifié, que la méthode d’authentification actuellement en vigueur est l’authentification Web centrale (
CWA Authentication), et que le filtre de pare-feu JNPR_RSVD_FILTER_CWA et l’URL de redirection sont également en vigueur.Sur la page de connexion de l’invité ClearPass, entrez l’adresse e-mail de l’invité et le mot de passe généré automatiquement que vous avez noté lors de la configuration d’Aruba ClearPass Guest.
Une fois connecté, votre navigateur doit être redirigé vers la page d’accueil de Juniper Networks, telle que configurée dans Aruba ClearPass Guest.
Sur le commutateur EX Series, entrez la commande show suivante :
user@EX4300> show dot1x interface ge-0/0/22 detail ge-0/0/22.0 Role: Authenticator Administrative state: Auto Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Enabled Mac Radius Restrict: Disabled Mac Radius Authentication Protocol: EAP-MD5 Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: not configured Number of connected supplicants: 1 Supplicant: 0050569b037f, 00:50:56:9B:03:7F Operational state: Authenticated Backend Authentication state: Idle Authentication method: Mac Radius Authenticated VLAN: v100 Dynamic Filter: guest_access_policy_1 Session Reauth interval: 3600 seconds Reauthentication due in 3434 seconds Session Accounting Interim Interval: 600 seconds Accounting Update due in 434 secondsLa sortie indique que le filtre de pare-feu guest_access_policy_1 est maintenant en vigueur. Le commutateur a reçu le CoA RADIUS d’Aruba ClearPass après que le point de terminaison a été authentifié par l’authentification Web centrale, lui indiquant le filtre de pare-feu à utiliser.
Vérification du statut des demandes d’authentification sur Aruba ClearPass Policy Manager
But
Vérifiez que les points de terminaison sont correctement authentifiés et que les attributs RADIUS corrects sont échangés entre le commutateur et Aruba ClearPass.
Action
Accédez à Surveillance > Surveillance en direct > Access Tracker pour afficher l’état des demandes d’authentification.
Access Tracker surveille les demandes d’authentification au fur et à mesure qu’elles se produisent et rend compte de leur état.
Pour obtenir plus de détails sur la demande initiale d’authentification MAC RADIUS à partir du point de terminaison, cliquez sur la demande (ligne 2 du tableau des demandes Access Tracker).
Pour obtenir plus de détails sur la demande d’authentification Web à partir du point de terminaison, cliquez sur la demande (ligne 1 du tableau de demande Access Tracker).
