VIDEO
HIGHLIGHT
Log InSign up
Aruba ClearPass Onboarding - BYOD
SummaryTranscriptChat

Aruba ClearPass Onboarding - BYOD

Introduzione all'Onboarding e BYOD

Cos'è l'Onboarding?

  • L'onboarding è il processo iniziale in cui un utente si connette utilizzando un Access Point (AP), fornendo nome utente e password.
  • Dopo l'onboarding, viene generato un certificato che stabilisce una relazione uno a uno tra l'utente e il dispositivo. Ogni dispositivo avrà il proprio certificato.

Processo di Onboarding

  • Il processo di onboarding prevede la transizione da EAP (Extensible Authentication Protocol) a EAP-TLS (Transport Layer Security).
  • I dispositivi vengono elencati nel repository di onboarding insieme ai loro certificati, permettendo di verificare se necessitano di essere ri-importati o onboarded nuovamente.

Creazione dell'Autorità di Certificazione

  • Si può creare una nuova Autorità di Certificazione locale; questo non si integra con altri sistemi.
  • Vengono forniti dettagli per la creazione della nuova autorità, mantenendo alcune impostazioni predefinite come il paese.

Modifiche alle Impostazioni del Certificato

  • Durante la configurazione, è importante specificare l'OCSP (Online Certificate Status Protocol).
  • Le modifiche includono l'impostazione del localhost come link valido per i server ClearPath.

Metodi di Autenticazione

  • Nella gestione delle politiche, ci sono diversi metodi di autenticazione disponibili; uno include OCSP abilitato.
  • È fondamentale non sovrascrivere le informazioni inviate dal client durante la modifica dei metodi di autenticazione.

Configurazione delle Impostazioni Rete

  • Si procede alla creazione delle impostazioni per la rete, specificando il valore SSID al quale i client si connetteranno.

Creazione di un Profilo di Configurazione per Wireless Sicuro

Impostazioni Iniziali

  • Non sono state apportate modifiche, ma si intende utilizzare le impostazioni create in precedenza per il profilo di configurazione.
  • Si creerà un nuovo profilo chiamato "employee secure Wireless", utilizzando le impostazioni già definite e salvando le modifiche.

Impostazioni di Provisioning

  • Si procederà a creare nuove impostazioni di provisioning denominate "employee secure device provisioning".
  • Verrà utilizzata l'autorità di certificazione creata in precedenza e si selezionerà il tipo di chiave ottimizzato per le prestazioni.

Autenticazione e Validazione

  • Nella sezione autorizzazione, verrà selezionato il profilo "employee secure Wireless" senza ulteriori modifiche.
  • La pagina web per il login del dispositivo sarà mantenuta invariata; si forniranno i link necessari durante la fase di onboarding.

Completamento delle Impostazioni

  • Per l'indirizzo di provisioning, si utilizzerà l'indirizzo IP della porta di gestione sul ClearPass.
  • Sono stati completati i tre passaggi del processo di onboarding: impostazioni della rete, profilo di configurazione e impostazioni di provisioning.

Creazione dei Servizi Onboard

Utilizzo dei Modelli

  • Si accederà al ClearPass Policy Manager per creare servizi utilizzando modelli predefiniti.
  • Saranno creati tre diversi servizi con politiche e profili d'applicazione specifici per l'autorizzazione.

Modifiche ai Servizi

  • Il cliente inizialmente si connetterà tramite EAPIP prima che venga eseguito il processo di onboarding.
  • Verranno apportate modifiche alle condizioni dell'autorizzazione rimuovendo gli ospiti e aggiungendo un repository utenti locali.

Configurazioni Finali

  • Le condizioni relative all'assegnazione dei ruoli saranno riviste nel contesto del servizio applicativo.
  • Nelle impostazioni del servizio onboard provisioning, verranno inclusi protocolli specifici come OCSP ed EAP con URL corretti per i certificati online.

Conclusione delle Modifiche

  • Due profili d'applicazione sono stati assegnati al servizio wireless dipendenti; è stata effettuata una revisione finale delle configurazioni prima del salvataggio.

Configurazione dei Servizi di Onboarding

Organizzazione dei Servizi

  • I servizi vengono spostati in cima per una migliore visibilità e gestione. Si decide di disabilitare il servizio "One X Authentication" per motivi di sicurezza.

Profili di Enforcement

  • Viene esaminato il profilo di enforcement creato, con tre profili disponibili. Si discute l'importanza della filtrazione per facilitare la visualizzazione.

Ruolo BYOD nel Pre-Provisioning

  • Il ruolo che ClearPass assegna durante la prima connessione a SSID sicuro è il ruolo BYOD, che viene inviato al mobility controller.

Politiche Post-Onboarding

  • Dopo l'onboarding, il ruolo utente autenticato viene inviato al controller. L'autenticazione consente all'utente di accedere liberamente alla rete.

Configurazione del Controller

  • È necessario configurare il controller affinché sappia dove reindirizzare gli utenti durante il processo di onboarding. Questo richiede l'impostazione dell'URL corretto per la pagina web dedicata.

Impostazioni della Pagina Web di Onboarding

URL della Pagina di Accesso

  • Viene fornito un URL specifico (device_provisioning_2.php) per la pagina web necessaria all'onboarding degli utenti.

Verifica del Redirect del Mobility Controller

  • Si verifica che il mobility controller sia correttamente configurato per reindirizzare gli utenti alla pagina giusta, utilizzando i dettagli forniti nella configurazione.

Mappatura dei Ruoli e Portali Captivi

Ruolo BYOD e Portale Cattivo

  • Il ruolo BYOD è mappato a un portale captive specifico, garantendo che gli utenti siano indirizzati correttamente durante l'onboarding.

Dettagli delle Politiche di Enforcement

  • Le politiche stateful sono verificate per assicurarsi che siano collegate correttamente ai ruoli e alle pagine web impostate precedentemente.

Test del Processo di Onboarding

Rimozione Utenti Precedenti

  • Prima del test dell'onboarding, si rimuovono eventuali utenti già connessi dal sistema per evitare conflitti durante le prove successive.

Monitoraggio della Connessione Utente

  • Durante la connessione, si utilizza Access Tracker su Windows per monitorare lo stato dell'utente e verificare quale servizio è stato attivato (Wireless onboarding provisioning).

Dettagli sul Servizio Attivato

  • Vengono esaminati i dettagli del servizio attivato, inclusi i criteri delle politiche di enforcement applicate all'utente connesso.

Redirezione alla Pagina Web

Onboarding del Servizio: Processo e Certificati

Inizio del Processo di Onboarding

  • Il servizio è stato reindirizzato all'inizio del processo di onboarding, dove si applicano tutte le impostazioni configurate.
  • Viene visualizzato un avviso riguardante il certificato da installare, poiché non è considerato attendibile sulla macchina attuale. Si accetta l'installazione.

Connessione e Tracciamento Accessi

  • Dopo aver accettato il certificato, si osserva che l'utente inizialmente connesso utilizza EBT Ms chap. I servizi basati su applicazione sono stati invocati.
  • Si esamina il menu dei certificati per gestire i client connessi; ogni utente ha due macchine diverse collegate.

Gestione dei Certificati

  • Sono presenti due certificati per ciascun utente, uno per ogni macchina. La tipologia di certificato è DLS client.
  • Conferma dell'autenticazione tramite aptls dopo che i dispositivi sono stati onboarded; si possono visualizzare gli attributi in input e output.

Dettagli sull'Autenticazione

  • Vengono elencate varie opzioni (55, 60), mostrando come vengono gestiti i dati inviati al controller per autenticare l'utente.
  • Lo stato dell'utente viene verificato nel controller; risulta autenticato con dettagli come indirizzo MAC e modalità di tunneling.

Conclusioni sul Processo di Onboarding

Video description

In this video I explain what is Aruba OnBoarding (BYOD) and how to configure on Aruba ClearPass