Aruba ClearPass [Lab_11] - Cấu hình Access Policy dựa trên vai trò (Role-based Access Control)

N

Nguyễn Tuấn Phát

Intern
Mục lục
I. Tổng quan về lab
II. Cấu hình trên switch
III. Cấu hình trên Aruba ClearPass
1. Enforcement Profile​
2. Enforcement Policy​
3. Service​
IV. Test


I. Tổng quan về lab
Mô hình mạng:

lab11-01-Infrastructure.png


Trong bài lab này, ta sẽ cấu hình trên switch và ClearPass để khi Client authenticate thành công thông qua giao thức 802.1X, dựa vào role của account mà Client đăng nhập vào thì sẽ được phân vào VLAN tương ứng với role.​
  • Ví dụ: Client xác thực vào mạng với account A với role là Employee thì sẽ được phân vào VLAN Employee, chịu ảnh hưởng của các access policy/ACL áp dụng đối với VLAN.​

Cách thức hoạt động:

lab11-02-flow_work.png


II. Cấu hình trên switch
  • Switch: Aruba OS-CX Virtual 10.07

Cấu hình xác thực 802.1X:
radius-server host 192.168.100.100 key plaintext Test123 vrf default
aaa group server radius rad_grp
server 192.168.100.100 vrf default
exit
radius dyn-authorization enable
radius dyn-authorization client 192.168.100.100 secret-key plaintext Test123 vrf default
aaa accounting port-access start-stop interim 5 group rad_grp
aaa authentication port-access dot1x authenticator
radius server-group rad_grp
enable
exit
int 1/1/2
aaa authentication port-access dot1x authenticator enable


Tạo VLAN và assign vào từng VLAN dựa trên role của client sau khi authenticate:
vlan 11
name Admin VLAN
vlan 12
name Employee VLAN
vlan 13
name Guest VLAN
port-access role admin
vlan access name Admin VLAN
port-access role employee
vlan access name Employee VLAN
port-access role contractor
vlan access name Guest VLAN
port-access role BYOD
vlan access name Guest VLAN

III. Cấu hình trên Aruba ClearPass
1. Enforcement Profile
Từ Dashboard di chuyển đến Configuration > Enforcement > Profiles. Sau đó tạo các Enforcement Profiles mới với mục đích trả về role cho client sau khi xác thực thành công.

lab11-03-EPr_all.png


Cấu hình như sau:​
  • Profile:​
    • Template: Aruba RADIUS Enforcement​
    • Type: RADIUS​
    • Action: Allow​
lab11-04-EPr_profile.png
  • Attribute (Type | Name | Value):​
    • RADIUS:Aruba | Aruba-User-Role | {role_name}​
lab11-05-EPr_attributes.png


Summary của Enforcement Profile trên:

lab11-06-EPr_summary.png


2. Enforcement Policy
Từ Dashboard di chuyển đến Configuration > Enforcement > Policies, sau đó tạo một Enforcement Policy như sau:​
  • Enforcement:​
    • Type: RADIUS​
    • Default Profile: [Deny Access Profile] hoặc có thể chọn profile trả về role "Untrusted/Unknown".​
lab11-07-EP_enforcement.png

  • Rules: Dựa vào nguồn xác thực mà ta chọn các rule phù hợp, ở đây thì mình xác thực qua Local User Repository, dựa vào role tài khoản mà client xác thực thì sẽ áp dụng Enforcement profile tương ứng với role đó, các profile này đã được tạo từ bước trên:​
lab11-08-EP_rules.png

  • Summary:​
lab11-09-EP_summary.png


3. Service
Từ Dashboard di chuyển đến Configuration > Services, sau đó chọn Service đã được cấu hình cho xác thực 802.1X (chi tiết mọi người có thể xem lại ở bài viết cũ của mình).

Chọn vào Service 802.1X và chọn mục Enforcement, tại đây chọn Enforcement Policy đã tạo ở trên:

lab11-10-Service_enforcement.png


Summary của Service:

lab11-11-Service_summary.png


IV. Test
Sau khi cấu hình xong, ta sẽ bắt đầu kiểm tra thử trên client.

Đầu tiên, ta sẽ thử xác thực client với account role "employee":​
  • Request detail khi xác thực 802.1X, khi xác thực thành công, server trả về role employee cho switch thông qua Enforcement Policy/Profile mà ta đã tạo ở trên:​
lab11-12-Test_employee_req_details.png
  • Kiểm tra trên switch có thể thấy Client lúc này đã được assign vào VLAN 12 (Employee VLAN):​
lab11-13-Test_employee_switch.png


Tương tự, khi ta thử xác thực vào mạng với account role "admin":​
  • Request Details:​
lab11-14-Test_admin_req_details.png
  • Trên switch, lúc này ta có thể thấy client sau khi xác thực bằng account admin đã được assign vào VLAN 11 (Admin VLAN):​
lab11-15-Test_admin_switch.png



Mình cảm ơn mọi người đã theo dõi bài viết của mình !​

Các tài liệu/bài viết tham khảo liên quan:
https://www.youtube.com/playlist?list=PLsYGHuNuBZcbZPEku1zxkfpn2k_O_MENo
https://arubanetworking.hpe.com/techdocs/AOS-CX/10.10/PDF/security_6200-6300-6400.pdf
https://arubanetworking.hpe.com/tec...apps/acn/acn-overview/role-to-role policy.htm
 
Bài viết liên quan
[Lab_10] - Cấu hình Device Profiling & Fingerprinting để nhận diện, phân loại các thiết bị kết nối vào mạng thông qua Switch bởi Nguyễn Tuấn Phát,
[Lab_09] - Kiểm tra tuân thủ và Assign VLAN với ClearPass OnGuard bởi Nguyễn Tuấn Phát,
[Lab_08] - Cài đặt và cấu hình cơ bản cho ClearPass OnGuard bởi Nguyễn Tuấn Phát,
[Lab_07] - Cấu hình xác thực MAC-Auth (MAB) trong Aruba ClearPass bởi Nguyễn Tuấn Phát,
[Lab_06] - Cấu hình cơ bản xác thực Wired 802.1X bởi Nguyễn Tuấn Phát,
[Lab_05] - Tích hợp Active Directory, LDAP Server trong Aruba ClearPass bởi Nguyễn Tuấn Phát,
Được quan tâm
[Lab_10] - Cấu hình Device Profiling & Fingerprinting để nhận diện, phân loại các thiết bị kết nối vào mạng thông qua Switch bởi Nguyễn Tuấn Phát,
[Lab_09] - Kiểm tra tuân thủ và Assign VLAN với ClearPass OnGuard bởi Nguyễn Tuấn Phát,
Bài viết mới
[Lab_10] - Cấu hình Device Profiling & Fingerprinting để nhận diện, phân loại các thiết bị kết nối vào mạng thông qua Switch bởi Nguyễn Tuấn Phát,
[Lab_09] - Kiểm tra tuân thủ và Assign VLAN với ClearPass OnGuard bởi Nguyễn Tuấn Phát,
[Lab_08] - Cài đặt và cấu hình cơ bản cho ClearPass OnGuard bởi Nguyễn Tuấn Phát,
[Lab_07] - Cấu hình xác thực MAC-Auth (MAB) trong Aruba ClearPass bởi Nguyễn Tuấn Phát,
[Lab_06] - Cấu hình cơ bản xác thực Wired 802.1X bởi Nguyễn Tuấn Phát,
[Lab_05] - Tích hợp Active Directory, LDAP Server trong Aruba ClearPass bởi Nguyễn Tuấn Phát,
Bạn phải đăng nhập hoặc đăng ký để bình luận.
Back
Top