User based tunneling (UBT) a downloadable role Aruba user role umožňují zjednodušení dynamického přiřazení autorizačních atributů díky jejich sdružení právě do uživatelské role. Tato role, která může být definovaná lokálně na switchi popř. může být nově od verze AOS-Switch 16.04 stáhnuta přímo z CPPM, v sobě sdružuje přiřazení tagované či netagované VLAN, QoS profilu včetně ACL popř. dalších atributů jako je centrální tunelování uživatelů do jednoho místa. A právě pro centrální tunelování uživatelů je použití user rolí povinnou prerekvizitou. V tomto labu si zkusíme nakonfigurovat asi ten nejzajímavější scénář kdy budeme ověřovat drátového uživatele na switchi a roli, která mu bude přiřazena (VLAN, zapnutí tunelování atp.) bude přiřazovat a konfigurovat do switche ClearPass. Stejně tak firewall roli, kterou dostane na konci tunelu si bude kontrolér stahovat z ClearPass. Nejdříve je třeba celý switch přepnout z využívání samostatných atributů do módu kdy využívá uživatelské role. Tyto dva módy nelze bohužel kombinovat takže pokud budete i v této fázi labu chtít mít připojena AP tak odeberte veškerou autentizační konfiguraci (jak MAC tak dot1x) z AP portů a management VLAN jim přiřaďte zatím ručně. Mohli bychom AP také ověřit do sítě a upravit politiky do ClearPass tak aby pro AP přiřadili uživatelskou roli s VLAN, ale tím se teď nebudeme zdržovat. Zapneme tedy user-role based autorizaci. Včetně možnosti role stahovat z ClearPass tak aby nemuseli být lokálně konfigurované na všech přepínačích. Pokud jsme povolili stáhnutí rolí musíme také říci jak si je má switch stáhnout. Uživatelské role obecně mohou být výrazně větší objekty než se dá vmněstnat do RADIUS atributu a tak si je switch či kontrolér stahují přes API. Nastavte tedy uživatelské jméno a heslo, které je na ClearPass pro tento účel zřízeno. SWITCH1(config)# radius-server cppm identity aruba key aruba123 Další krok v rámci switche bude vytvoření VLAN do které budeme tunelovaného uživatele zavírat. Můžeme použít třeba VLAN 500, kterou jsme používali pro testování IAP-VPN a máme ji už na kontroléru vytvořenou včetně IP rozhraní. Poslední krok bude nadefinování cíle tunelování, tedy IP adresa vašeho kontroléru a mód, který zvolíme user-based což znamená, že budeme tunelovat per uživatel nikoliv per port.
Samořejmě je třeba mít nějaké porty v autentizačním módu, ale to předpokládám máme již z předchozích částí labu. A to je z konfigurace na switchi vše. Extrémně jednoduché a vše ostatní už zařídíme z ClearPass. Upravíme si Wired 802.1x autentizační službu tak, že jako výsledek budeme přiřazovat právě stáhnutelnou uživatelskou roli, která bude uživatele směrovat do tunelu a správné VLAN. Zároveň bude určovat jakou firewall politiku má tento uživatel dostat na kontroléru. Nejdříve v ClearPassu připravte stáhnutelnou firewall politiku pro kontrolér.
Vytvořte novou firewall politiku. Do ní vložíme pravidlo, které zakazuje komunikaci uživatele do management subnetu (v příkladu na obrázku subnet 16.x.x.x) a povoluje všechnu ostatní komunikaci.
Dejte firewall politice jméno a uložte.
Pak už jen právě vytvořené vyberte v rámci uživatelské role. Tento objekt pro vás v ClearPassu zůstane vytvořený i pro další použití.
Dále si připravíme novou Enforcement politiku se switch downloadable rolí. Tentokrát vybereme typ role ArubaOS-Switch. A vyplníme naši VLAN500 společně se sekundární downloadable rolí pro kontrolér.
Teď už pouze stačí přidat switch downloadable roli do wired autentizační politiky a služby jako jedinou akci.
Vše uložte. Teď bychom se po připojení klienta měli dostat do VLAN 500 na kontroléru, ale v této VLAN nemáme žádný DHCP server, takže si ho na kontroléru buďto zřiďte a nebo si na vašem notebook Ethernet portu nastavte statickou adresu ze sítě 192.168.255.0/24. Jakmile se připojíte k dot1x nastavenému portu tak by jste měli mít možnost dostat se na GUI kontroléru na adrese 192.168.255.1, ale ne na jeho management adrese. Tím ověříme platnost firewall politiky. Po přihlášení na GUI vašeho kontroléru také můžete sledovat analýzu provozu a uživatele včetně poznačené role. Podívejte se na Dashboard->Traffic analysis a můžete vidět aplikační analýzu provozu vašeho drátového uživatele. Ve switchi by jste měli vidět detaily autentizace včetně názvu stažené role a jejích detailů.
Stejně tak po přihlášení na CLI kontroléru můžete vidět, že je veden ve standardní user tabulce jako běžní WIFI uživatelé. Opět s mapováním patřičné role.