ARUBASELAB培訓教程

Class02

ClearPass基本配置當今的網絡認證/授權需求支持更多的終端、用戶和協議越來越多的智能終端開始連接網絡，不僅僅是Windows終端802.1X具有更好的安全性，但是要求認證服務器具有更高的性能用戶帳號信息保存在各種數據庫中（AD,LDAP,SQL數據庫，Token）越來越多的訪客上網服務，要求提供靈活便捷的訪客帳號管理機制日益發展的Cloud應用要求具備對單點登錄（SSO）能力的支持支持更加復雜的基于情境的授權通常認證過程只能提供“是”或者“否”兩種結果支持更多的場景識別并提供更加精細的網絡授權能夠實現分層次的多重網絡授權規則和授權條件有效利用第三方終端管理系統存儲的情境信息傳統Radius認證系統的挑戰

可視性和故障分析能力不足無法對連接到網絡中的終端進行自動識別和信息收集缺乏情境感知能力，如終端類型、完整性、資產類別等沒有直觀易用的故障診斷工具以及認證/授權日志擴展性和可靠性不足缺乏足夠的EAP加解密處理能力不支持active-active集群技術和中心化管理缺乏豐富的功能僅提供有限的AAA,TACACS+不提供真正關注于情境的授權缺少便捷的訪客賬戶管理功能ARUBAClearPass策略服務器1234ClearPass認證服務模塊傳輸網Profile:提供業界產品覆蓋最廣、準確率最高的設備分析系統,可以動態監視新連接，并自動分析新偵測到的設備On-Board:提供無感知的802.1x認證參數配置，使IT人員可以輕松創建、管理802.1X終端設備On-Guard:在終端入網前根據預置的安全入網條件進行檢查，包括：防毒軟件、防火墻、軟件版本補丁等Guest:提供企業自定義個性化portal、訪客自注冊系統、按需廣告推送,外置Raidus功能ClearPass服務器安裝ClearPass服務器的安裝步驟ClearPass服務器的安裝步驟ClearPass服務器的安裝步驟ClearPass服務器的安裝步驟ClearPass服務器的安裝步驟注意：此時如果直接給虛擬機加電會導致如下錯誤，原因在于ClearPass需要添加第二塊硬盤才能正常啟動此處添加的硬盤大小需要符合ClearPass虛擬機資源配置要求ClearPass服務器的安裝步驟ClearPass服務器的安裝步驟ClearPass服務器的安裝步驟輸入管理員默認帳號和密碼：appadmin/eTIPS123ClearPass服務器的安裝步驟配置IP地址參數和NTP服務器（可以使用）ClearPass服務器的安裝步驟確認IP地址參數和系統時間參數ClearPass服務器的安裝步驟ClearPass服務器的安裝步驟ClearPass配置邏輯ClearPass認證服務模型認證定義認證方法、認證源和認證策略AD,LDAP,SQL,令牌服務器,內置數據庫授權定義可用的授權源利用不同授權源的多重屬性定義授權策略角色映射定義服務器內部角色利用用戶和終端屬性定制角色映射規則健康檢查收集終端健康信息定義健康檢查的內容策略決策基于角色、健康狀態、情境條件進行決策多種策略–Role,VLAN,ACL下發，CoA等ClearPass配置邏輯ClearPass配置界面ClearPass配置菜單EAPornon-EAPmethodforclientauthentication.PolicyManagersupportsfourbroadclassesofauthenticationmethods:EAP,tunneled:PEAP,EAP-FAST,orEAP-TTLS.EAP,non-tunneled:EAP-TLSorEAP-MD5.Non-EAP,non-tunneled:CHAP,MS-CHAP,PAP,orMAC_AUTH.MAC_AUTHmustbeusedexclusivelyinaMAC-basedAuthenticationService.WhentheMAC_AUTHmethodisselected,PolicyManager:(1)makesinternalcheckstoverifythattherequestisindeedaMACAuthenticationrequest(andnotaspoofedrequest)and(2)makessurethattheMACaddressofthedeviceispresentintheauthenticationsource.ClearPass配置菜單AnAuthenticationSourceistheidentityrepositoryagainstwhichPolicyManagerverifiesidentity.ItsupportstheseAuthenticationSourcetypes:

MicrosoftActiveDirectory

anyLDAPcompliantdirectory

RSAorotherRADIUS-basedtokenservers

SQLdatabase,includingthelocaluserstore.

StaticHostLists,inthecaseofMAC-basedAuthenticationofmanageddevices.ClearPass配置菜單AnAuthorizationSourcecollectsattributesforuseinRoleMappingRules.Youspecifytheattributesyouwanttocollectwhenyouconfiguretheauthenticationsource.PolicyManagersupportsthefollowingauthorizationsourcetypes:

MicrosoftActiveDirectory

anyLDAPcompliantdirectory

RSAorotherRADIUS-basedtokenservers

SQLdatabase,includingthelocaluserstore.ClearPass配置菜單AnAuthenticationSourceistheidentityrepositoryagainstwhichPolicyManagerverifiesidentity.ItsupportstheseAuthenticationSourcetypes:

MicrosoftActiveDirectory

anyLDAPcompliantdirectory

RSAorotherRADIUS-basedtokenservers

SQLdatabase,includingthelocaluserstore.

StaticHostLists,inthecaseofMAC-basedAuthenticationofmanageddevices.ClearPass配置菜單PolicyManagerevaluatesRequestsagainstRoleMappingPolicyrulestomatchClientstoRole(s).AllrulesareevaluatedandPolicyManagermayreturnmorethanoneRole.Ifnorulesmatch,therequesttakestheconfiguredDefaultRole.ClearPass配置菜單AnInternalPosturePolicytestsRequestsagainstinternalPosturerulestoassesshealth.Postureruleconditionscancontainattributespresentinvendor-specificposturedictionaries.ClearPass配置菜單PolicyManagertestsPostureTokens,Roles(andsystemtime)againstEnforcementPolicyrulestoreturnoneormorematchingEnforcementProfiles(thatdefinescopeofaccessfortheclien