Xin chào mọi người, ở bài viết này mình sẽ cấu hình xác thực Onguard.
Mô tả bài viết:
Mình sẽ thực hiện cấu hình tính năng Onguard của Aruba Clearpass - dùng để xác thực người dùng bằng phần mềm Clearpass Onguard để gán VLAN một cách hợp lí.
Mục tiêu:
Sẽ dùng phần mềm CLearpass Onguard để kiểm tra thiết bị người dùng.
Nếu thiết bị HEALTHY thì sẽ được gán vào đúng VLAN
Nếu thiết bị Unhealthy thì sẽ gán vào 1 VLAN cách ly
Chuẩn bị:
Chuẩn bị 2 VLAN:
- 1 VLAN sẽ truy cập được tất cả tài nguyên trong hệ thống.
- 1 VLAN cách ly phải được cấp DHCP và có thể truy cập đến CLEARPASS để update tình trạng thiết bị, ngoài ra VLAN cách ly bị chặn truy cập đến các tài nguyên khác.
Lưu ý: Onguard chỉ hỗ trợ hệ điều hành: Microsoft, MacOS và Linux
Cấu hình:
Tạo Posture Policies:
Giao diện GUI > Configuration > Posture > Posture Policies > Add
Ở mục: Policy
Policy Name: Nhập tên cho Policy
Posture Agent: Chọn Onguard Agent
Host Operating System: Windows
Ở mục Posture Plugins:
Chọn Plugin name "ClearPass Windows Universal System Health Validator" > chọn Configure
Ở plugin này hỗ trợ các hđh windows lẫn windows Server. Ở đây mình đang kiểm tra trên windows 11 nên sẽ Enable check trên Wins 11
Ở phần Antivirus, enable antivirus application.
Ở phần Firewall cũng tương tự. Nhấn Save để lưu cấu hình
Sau khi save config, ở phần Status hiện "Configured" và có thể view config của plugin này.
Ở mục Rules, chọn Add Rule
Tạo 2 rule như sau:
Review 2 Rule vừa tạo
Ở mục Summary, các bạn kiểm tra lại thông tin cấu hình phần policy
Tạo Profile để update trạng thái cho Onguard
Giao diện GUI > Configuration > Enforcement > Profiles > Add để tạo mới
Ở mục Profile:
Template: Agent Enforcement
Name: đặt tên cho profiles
Ở mục Attributes:
Bounce Client: True
Message: nhập thông báo mà bạn muốn Onguard gửi xuống cho người dùng
Ở mục Summary
Kiểm tra lại thông tin cấu hình.. Nhấn Save để lưu
Thực hiện tương tự để tạo thêm profiles cho các thiết bị UNHEALTHY
Tạo Enforcement Policy cho Onguard
Giao diện GUI > Configuration > Enforcement > Policies > Add để tạo mới
Ở mục Enforcement
Name: Đặt tên cho policy
Enforcement Type: Chọn WEBAUTH
Default Profile: chọn Profile UNHEALTHY vừa tạo ở bước trên
Ở mục Rules:
Tạo 2 policy rule như hình
Ở mục Summary,
Review lại thông tin cấu hình
Tạo Service cho Onguard
Giao diện GUI > Configuration > Services > Add để tạo mới
Ở mục Service
Name: Nhập tên cho service
Type: chọn Web-based Health Check Only
Service Rule: tạo Rule như hình
Ở mục Roles:
Để mặc định như hình
Ở mục Posture
Posture Policies: chọn Policies vừa tạo ở bước trên
Ở mục Enforcement
Enforcement Policy: Health Check Enforcement Policy
Tạo 2 conditions như hình
Ở mục Summary
Review lại thông tin cấu hình
Sau khi tạo xong Service, sắp xếp service theo thứ tự phù hợp
Mô tả bài viết:
Mình sẽ thực hiện cấu hình tính năng Onguard của Aruba Clearpass - dùng để xác thực người dùng bằng phần mềm Clearpass Onguard để gán VLAN một cách hợp lí.
Mục tiêu:
Sẽ dùng phần mềm CLearpass Onguard để kiểm tra thiết bị người dùng.
Nếu thiết bị HEALTHY thì sẽ được gán vào đúng VLAN
Nếu thiết bị Unhealthy thì sẽ gán vào 1 VLAN cách ly
Chuẩn bị:
Chuẩn bị 2 VLAN:
- 1 VLAN sẽ truy cập được tất cả tài nguyên trong hệ thống.
- 1 VLAN cách ly phải được cấp DHCP và có thể truy cập đến CLEARPASS để update tình trạng thiết bị, ngoài ra VLAN cách ly bị chặn truy cập đến các tài nguyên khác.
Lưu ý: Onguard chỉ hỗ trợ hệ điều hành: Microsoft, MacOS và Linux
Cấu hình:
Tạo Posture Policies:
Giao diện GUI > Configuration > Posture > Posture Policies > Add
Ở mục: Policy
Policy Name: Nhập tên cho Policy
Posture Agent: Chọn Onguard Agent
Host Operating System: Windows
Ở mục Posture Plugins:
Chọn Plugin name "ClearPass Windows Universal System Health Validator" > chọn Configure
Ở plugin này hỗ trợ các hđh windows lẫn windows Server. Ở đây mình đang kiểm tra trên windows 11 nên sẽ Enable check trên Wins 11
Ở phần Antivirus, enable antivirus application.
Ở phần Firewall cũng tương tự. Nhấn Save để lưu cấu hình
Sau khi save config, ở phần Status hiện "Configured" và có thể view config của plugin này.
Ở mục Rules, chọn Add Rule
Tạo 2 rule như sau:
Review 2 Rule vừa tạo
Ở mục Summary, các bạn kiểm tra lại thông tin cấu hình phần policy
Tạo Profile để update trạng thái cho Onguard
Giao diện GUI > Configuration > Enforcement > Profiles > Add để tạo mới
Ở mục Profile:
Template: Agent Enforcement
Name: đặt tên cho profiles
Ở mục Attributes:
Bounce Client: True
Message: nhập thông báo mà bạn muốn Onguard gửi xuống cho người dùng
Ở mục Summary
Kiểm tra lại thông tin cấu hình.. Nhấn Save để lưu
Thực hiện tương tự để tạo thêm profiles cho các thiết bị UNHEALTHY
Tạo Enforcement Policy cho Onguard
Giao diện GUI > Configuration > Enforcement > Policies > Add để tạo mới
Ở mục Enforcement
Name: Đặt tên cho policy
Enforcement Type: Chọn WEBAUTH
Default Profile: chọn Profile UNHEALTHY vừa tạo ở bước trên
Ở mục Rules:
Tạo 2 policy rule như hình
Ở mục Summary,
Review lại thông tin cấu hình
Tạo Service cho Onguard
Giao diện GUI > Configuration > Services > Add để tạo mới
Ở mục Service
Name: Nhập tên cho service
Type: chọn Web-based Health Check Only
Service Rule: tạo Rule như hình
Ở mục Roles:
Để mặc định như hình
Ở mục Posture
Posture Policies: chọn Policies vừa tạo ở bước trên
Ở mục Enforcement
Enforcement Policy: Health Check Enforcement Policy
Tạo 2 conditions như hình
Ở mục Summary
Review lại thông tin cấu hình
Sau khi tạo xong Service, sắp xếp service theo thứ tự phù hợp
Attachments
Last edited:
![[LAB 05] Config Onguard with Authen Wired 802.1x on Aruba Clearpass (Phần 2)](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAAEAAAABCAQAAAC1HAwCAAAAC0lEQVR42mP8Xw8AAoMBgDTD2qgAAAAASUVORK5CYII=)