資安管理政策之下,一般使用者要定期更改密碼。
然而,ClearPass是認證伺服器,並且通常將認證集中指到這一台,而通常又會搭配AD等作為驗證源。
如果ClearPass使用的LDAP查詢帳號密碼被修改,但ClearPass沒修改,就會出現很大的狀況。
要如何避免?
常見的做法是給與一組不會受密碼修改政策,專門給網路設備使用的帳號。
萬一沒有辦法妥協,一定要定時修改密碼,就可以參考本文。
LDAP查詢的用意
LDAP是ClearPass確認user是否存在,也是驗證的第一步,如果不存在就不用去驗證該user的密碼是否正確。
ClearPass的LDAP查詢帳號的權限
Domain user即可。
※不需要Domain Admins
LDAP查詢失敗後的作為
如果LDAP查詢失敗,就會往下一個Server做使用,視為Server failed處理。
依此LDAP查詢可以做兩個相同IP的但使用帳號不同,只要其中一個正常,就能正常。
在認證源AD加入備援
我們要在CPPM中,針對AD驗證源,同樣的IP(172.16.3.43),設定兩組不同的帳號。
除非兩個帳號查詢都失效,這樣設定可以消除修改帳密後到CPPM改過前的網路狀況時間。
在Backup Server Prority中,Add Backup,上方分頁就會出現Backup1。
Primary,使用帳號「Administrator1」
Backup1,使用帳號「Administrator2」
這樣因為密碼政策改Administrator1密碼後,仍有Administrator2可以用。
若以90天為週期密碼修改原則,假設第1天改Administrator1的密碼,第45天改Administrator2的密碼,假設第91天改Administrator1的密碼,第135天改Administrator2的密碼。
如果忘記修改CPPM上Administrator1的密碼,仍有一個月的時間可以發現修補。
如何得知LDAP查詢失敗
在CPPM的Event View(事件檢視器),可以查看。
如果有「AD Connect」、「AD/LDAP」之類的錯誤,就可能是LDAP查詢帳號受影響了。
ClearPass Guest LDAP查詢
如法炮製,新增兩個Server,分別使用不同帳號,就能達到密碼修改週期備援。
