Aruba ClearPass [Lab_18] - ClearPass Onboard #2 - Cấu hình cơ bản cho Onboard

N

Nguyễn Tuấn Phát

Intern
Xin chào mọi người, ở bài viết này mình sẽ trình bày cách cấu hình các thành phần cơ bản cho ClearPass Onboard bao gồm Network Settings, Configuration Profiles và Provisioning Settings. Việc cấu hình này sẽ giúp ta tạo/chỉnh sửa một trang web dành cho quá trình provisioning các thiết bị của người dùng cũng như xác định protocol xác thực (PEAP MSCHAPv2, TLS,...), áp dụng CA đã tạo cho quá trình Onboard.


Mục lục
I. Quy trình Onboard trên Endpoint
II. Cấu hình cơ bản cho Onboard
1. Network Settings​
2. Configuration Profiles​
3. Provisioning Settings​
III. Tổng kết


I. Quy trình Onboard trên Endpoint
Quá trình Onboard trên các thiết bị có khả năng Onboard (Window, Android,...)

lab18-01-Onboard_Process.png


Gồm 3 giai đoạn:
  • Pre-provisioning (Android only): Thực hiện tải app QuickConnect để cung cấp bảo mật cho thiết bị.​
  • Provisioning: Trang web provisioning tự detect loại thiết bị và tải/mở ứng dụng QuickConnect. Ứng dụng này xác thực người dùng và provision thiết bị với Onboard server. Thiết bị được confiig với credentials độc nhất với thiết bị đó.​
  • Authentication: Sau khi config xong, user chuyển qua mạng secure và xác thực lại với PEAP-MSCHAPv2 unique device credentials.​
Onboard Workflow với protocol PEAP-MSCHAPv2:

lab18-02-Onboard_Workflow.png
  • Khi thiết bị BYOD mới lần đầu kết nối vào network sẽ được trigger captive portal dẫn đến trang provisioning.​
  • Tại Onboard portal, dựa vào loại thiết bị của người dùng mà hiển thị nội dung tương ứng.​
    • Android: gồm một file chứa Onboard configurations settings, tải và mở ứng dụng QuickConnect.​
    • Windows và các thiết bị tương tự: trang web sẽ gồm một link tải file có thể thực thi dành cho OS tương ứng, file này sẽ gồm app QuickConnect và Onboard configuration settings.​
  • Ứng dụng QuickConnect xác thực người dùng và provision thiết bị với Onboard server, các thiết bị này sẽ được cấu hình với credentials độc nhất của thiết bị và cài đặt mạng tương ứng.​
  • Sau khi quá trình provisioning hoàn thành, ứng dụng buộc thiết bị phải xác thực PEAP với unique credentials sau khi provision.​
  • Sau khi xác thực thành công, thiết bị của người dùng đã có thể kết nối vào mạng một cách an toàn.​
Workflow Onboard Provisioning trong QuickConnect App:

lab18-03-Onboard_Provisioning_Process.png


Với quá trình Onboard dành cho các thiết bị iOS Platform mọi người có thể xem chi tiết hơn ở đây.

II. Cấu hình cơ bản cho Onboard
1. Network Settings
Truy cập đến Onboard > Configuration > Network Settings, sau đó chọn "Create new network" để thêm mới, cấu hình các phần như sau:​
  • Access:​
    • Điền name và description của network.​
    • Chọn Network type: Wired Only/Wireless Only/Both​
lab18-04-NS_Access.png
  • Protocol: Chọn protocol cho giao thức 802.1X để xác thực trên endpoint​
lab18-05-NS_Protocols.png
  • Authentication: Xác thực dành cho Android/iOS​
lab18-06-NS_Authentication.png
  • Trust:​
lab18-07-NS_Trust.png
  • Windows:
lab18-08-NS-Windows.png
  • Proxy:
lab18-09-NS-Proxy.png


Details của Network Settings vừa tạo:

lab18-10-NS_Res.png


2. Configuration Profiles
Truy cập đến Onboard > Deployment and Provisioning > Configuration Profiles, chọn "Create new configuration profile" để tạo một profile mới cho quá trình provisioning:

Tại đây, ta cấu hình như sau:​
  • Điền các thông tin Name và Description cho profile​
  • Tại phần Networks: chọn Network đã cấu hình ở phần trên​
lab18-11-CP_conf.png


Details của Configuration Profiles vừa tạo:

lab18-12-CP_Res.png


3. Provisioning Settings
Truy cập đến Onboard > Deployment and Provisioning > Provisioning Settings, sau đó chọn "create new provisioning settings" để thêm mới, sau đó cấu hình các phần như sau:​
  • General:​
    • Điền các thông tin Name, Description,...​
    • Tại mục Identity: CA và TLS CA chọn CA đã tạo ở bài viết trước.​
    • Tại mục Authorization:​
      • Authorization method: App Authentication.​
      • Configuration: Chọn Configuration Profiles vừa tạo ở trên.​
lab18-13-PS_General.png
  • Supported Devices: Chọn các loại thiết bị hỗ trợ provisioning​
lab18-14-PS_SupportedDevices.png
  • Web Login: Customize trang web login cho Onboard​
    • Page name: tên của trang web để truy cập vào, url truy cập sẽ như sau {ClearPass_IP}/onboard/{Onboard_Page_Name}.php​
    • Authentication: Chọn cách xác thực cho web​
      • Credentials: yêu cầu username & password​
      • Access Code: chỉ yêu cầu username​
      • Anonymous: không yêu cầu username hay password​
      • Auto: không yêu cầu username/password mà tự động submit​
lab18-15-PS_WebLogin_1.png
  • Login Page: customize lại giao diện cho page​
lab18-16-PS_WebLogin_2.png
  • Cloud identity, Multi-Factor Authen, Allowed/Denied Access:​
lab18-17-PS_WebLogin_3.png
  • Instructions & Messages: Đây là phần cấu hình giao diện page hướng dẫn người dùng thực hiện các bước tiếp theo sau khi login thành công.​
lab18-18-PS_InstructionsMessages.png
  • iOS/macOS Profile:
lab18-19-PS_iOS_macOS.png
  • Onboard Client:
    • Provisioning Address: Chọn IP/DNS của server dùng để provisioning.​
lab18-20-PS_OnboardClient.png
  • Sponsorship Confirmation: Khi check vào sẽ yêu cầu sponsor confirm để kích hoạt account.​
lab18-21-PS_Sponsorship.png


Detail của Provisioning Settings vừa tạo:

lab18-22-PS_Res.png



III. Tổng kết
Qua bài viết, chúng ta đã cấu hình xong các thành phần cơ bản cho ClearPass Onboard để giúp cung cấp chứng chỉ giúp các endpoint có thể kết nối vào mạng một cách bảo mật. Ở bài viết tiếp theo, mình sẽ cấu hình các Service và demo Onboard với 2 protocol là "PEAP with MSCHAPv2" và "TLS".


Mình cảm ơn mọi người đã theo dõi bài viết của mình !

Các tài liệu/bài viết tham khảo liên quan:
https://arubanetworking.hpe.com/tec...UserGuide/About ClearPass/About_ClearPass.htm
https://arubanetworking.hpe.com/tec...ontent/Onboard/TheClearPassOnboardProcess.htm
https://www.youtube.com/playlist?list=PLsYGHuNuBZcbZPEku1zxkfpn2k_O_MENo
https://www.slideshare.net/slideshow/onboard-deployment-guide-396/35529172
 
Bài viết liên quan
[Lab_19] - ClearPass Onboard #3 - Cấu hình Service và Demo Onboard bởi Nguyễn Tuấn Phát,
[Lab_17] - ClearPass Onboard #1 - Thiết lập CA nội bộ để cấp chứng chỉ cho thiết bị bởi Nguyễn Tuấn Phát,
[Lab_16] - Cấu hình xác thực 802.1X và MAB với Cisco Switch & Aruba ClearPass bởi Nguyễn Tuấn Phát,
[Lab_15] - ClearPass Guest #3 - Cấu hình Accept Guest bằng Sponsor Confirmation bởi Nguyễn Tuấn Phát,
[Lab_14] - ClearPass Guest #2 - Cấu hình Service Guest Authentication với MAC Caching bởi Nguyễn Tuấn Phát,
[Lab_13] - ClearPass OnGuard #3 - Cấu hình Health-Based Access Control bởi Nguyễn Tuấn Phát,
Bài viết mới
[Lab_19] - ClearPass Onboard #3 - Cấu hình Service và Demo Onboard bởi Nguyễn Tuấn Phát,
[Lab_17] - ClearPass Onboard #1 - Thiết lập CA nội bộ để cấp chứng chỉ cho thiết bị bởi Nguyễn Tuấn Phát,
[Lab_16] - Cấu hình xác thực 802.1X và MAB với Cisco Switch & Aruba ClearPass bởi Nguyễn Tuấn Phát,
[Lab_15] - ClearPass Guest #3 - Cấu hình Accept Guest bằng Sponsor Confirmation bởi Nguyễn Tuấn Phát,
[Lab_14] - ClearPass Guest #2 - Cấu hình Service Guest Authentication với MAC Caching bởi Nguyễn Tuấn Phát,
[Lab_13] - ClearPass OnGuard #3 - Cấu hình Health-Based Access Control bởi Nguyễn Tuấn Phát,
Bạn phải đăng nhập hoặc đăng ký để bình luận.
Back
Top