VIDEO
HIGHLIGHT
Log InSign up
Aruba ClearPass Onboarding - BYOD
SummaryTranscriptChat

Aruba ClearPass Onboarding - BYOD

¿Qué es el proceso de onboarding y BYOD?

Introducción al Onboarding

  • El onboarding se refiere al proceso inicial donde un usuario se conecta utilizando un AP (Access Point), ingresando su nombre de usuario y contraseña.
  • Después del onboarding, se genera un certificado que establece una relación uno a uno entre el usuario y el dispositivo. Esto permite que un usuario pueda registrar múltiples dispositivos.

Proceso de Onboarding

  • Se menciona la transición del uso de eBay a Eep TLS durante el proceso de onboarding, lo cual es crucial para la seguridad.
  • Los dispositivos se listan en un repositorio de onboarding junto con sus certificados, permitiendo verificar si necesitan ser reimportados o si ya están onboarded.

Creación de Autoridades Certificadoras

  • Se discute la creación de una nueva autoridad certificadora local, destacando que no se integrará con otros sistemas.
  • Se proporcionan detalles sobre la configuración del país y otros parámetros necesarios para establecer esta nueva autoridad.

Configuración del Protocolo OCSP

  • Se especifica la inclusión del protocolo OCSP (Online Certificate Status Protocol) para validar los certificados en línea.
  • La configuración incluye cambiar ciertos parámetros a "localhost" para asegurar que el enlace sea válido para otros servidores ClearPath.

Métodos de Autenticación

  • En la gestión de políticas, se revisan diferentes métodos de autenticación, incluyendo aquellos con OCSP habilitado.
  • Se crea una copia del método predeterminado y se ajusta para no sobrescribir los datos enviados por el cliente.

Configuración Final del Onboarding

  • Se construyen las configuraciones necesarias para instalar certificados y configurar perfiles inalámbricos en las máquinas clientes.

Configuración de un Perfil de Configuración para Dispositivos

Creación del Perfil de Configuración

  • No se han realizado cambios, pero se planea crear un nuevo perfil de configuración llamado "employee secure Wireless", utilizando configuraciones previamente creadas.
  • Se han completado dos pasos de los tres necesarios en la configuración, guardando los cambios realizados.

Ajustes en la Configuración

  • Para soportar múltiples SSIDs, se podrían haber creado varias configuraciones desde los ajustes de red que se usarían en el perfil de configuración.
  • Se está creando una nueva configuración llamada "employee secure device provisioning" y se utilizará la autoridad certificadora creada anteriormente.

Proceso de Autenticación

  • En la sección de autorización, se seleccionará el perfil "employee secure Wireless" sin realizar más cambios.
  • La página web a la que será redirigido el cliente durante el inicio de sesión será mantenida como está.

Finalización del Proceso Inicial

  • Se opta por no validar certificados para ciertos tipos y se usará la dirección IP del puerto de gestión en Clay Pass.
  • Se ha completado el proceso inicial con éxito: ajustes de red, perfil de configuración y ajustes provisionales.

Creación del Servicio Onboard

Uso del Gestor de Políticas ClearPass

  • Se procederá a crear servicios usando plantillas dentro del gestor ClearPass Policy Manager.
  • Al agregar servicios, se observa que ya existen políticas y perfiles creados para diferentes servicios relacionados con RADIUS.

Modificaciones Necesarias

  • El cliente inicialmente conecta con EAPIP antes del proceso onboard; luego es desconectado y reconectado usando APLS.
  • En las configuraciones, se eliminarán usuarios invitados y se añadirá un repositorio local para adaptarse al entorno del laboratorio.

Ajustes Finaales en Servicios

  • Las condiciones bajo las cuales los roles son asignados serán revisadas para asegurar que el servicio o aplicación ayude a perfilar correctamente el dispositivo.
  • En el servicio provisional onboard, se habilitará OCSP y se ajustarán las configuraciones para no incluir usuarios invitados.

Revisión Final

Configuración de Servicios y Perfiles en ClearPass

Organización de Servicios

  • Se discute la necesidad de reorganizar los servicios, moviéndolos a la parte superior para facilitar su acceso.
  • Se menciona que aún no se han revisado los perfiles de cumplimiento creados, destacando la importancia de filtrarlos por nombre.

Perfiles de Pre-Provisionamiento

  • El perfil asignado por ClearPass al conectarse a una SSID segura es el rol BYOD (Bring Your Own Device).
  • Se presentan cuatro políticas diferentes relacionadas con el servicio de pre-provisionamiento.

Proceso Post-Onboarding

  • Después del onboarding, el rol del usuario autenticado se envía al controlador, permitiendo el acceso completo.
  • Es crucial configurar correctamente el controlador para redirigir a los usuarios a una página web específica durante el proceso de onboarding.

Configuración del Controlador

  • La configuración se realiza en la sección de autenticación, específicamente en la herramienta "catapultu".
  • Se debe proporcionar la URL correcta para redirigir a los usuarios al proceso de aprovisionamiento.

Verificación y Pruebas

  • Se verifica que el controlador esté configurado para redirigir correctamente a los usuarios a la página designada.
  • El rol BYOD está mapeado a un portal cautivo que gestiona las solicitudes de onboarding.

Seguimiento del Proceso

  • Se prueba el proceso desconectando un cliente y eliminando su registro en el sistema.
  • Al reconectar, se observa qué servicio se activa y cómo se registra en Access Tracker.

Resultados Finales

  • El cliente conectado aparece como un usuario contratado bajo el servicio "employee Wireless onboarding provisioning".

Proceso de Onboarding y Conexión

Configuración Inicial

  • Se inicia el proceso de onboarding, donde se descargará la aplicación necesaria para la configuración.
  • Aparece una advertencia sobre un certificado no confiable en la máquina actual; se acepta esta advertencia para continuar.

Conexiones y Autenticación

  • Se observa que el usuario se conecta inicialmente utilizando EBT Ms chap, y los servicios de onboarding son invocados correctamente.
  • Se revisan los certificados asociados a un usuario específico, mostrando que hay dos máquinas conectadas con diferentes certificados.

Detalles del Certificado

  • Cada máquina tiene su propio certificado, lo que indica que han sido configuradas adecuadamente para el usuario específico.
  • La autenticación secundaria tras el onboarding es aptls; se pueden revisar los atributos computados e importados relacionados con la conexión.

Información del Controlador

  • Se envían datos al controlador, incluyendo roles de firewall y detalles de autenticación del usuario.
  • El estado del usuario muestra que está autenticado, indicando que hay un rol asignado y proporcionando detalles como direcciones MAC.

Resumen Final

Video description

In this video I explain what is Aruba OnBoarding (BYOD) and how to configure on Aruba ClearPass