ClearPass是個設備會存取,以及訪客可能會存取的設備。為了避免被連到,在管理員登入方面除了可以以各別應用去限制存取IP,此外,亦可以把管理員帳密導到外部認證源,例如AD。
本文會示範如何導入AD作為ClearPass管理員登入依據。
原理
ClearPass管理員登入也可以一個Policy Service。
然而[Admin User Repository]會更優先Policy Service,因此需要關閉[Admin User Repository]裡面的帳號,或是作為備援帳密將密碼改成更複雜。
建議配置:管理員帳密綁AD,其餘設備所用的溝通帳號如API、DUR則放入Local,最後在Local放上備援帳號。
※ClearPass SSH帳密與WebUI帳密不同,ClearPass Console帳號只有一組,通常為appadmin,並且密碼為叢集密碼。
預設配置
ClearPass預設配置是disable。
範例
由於AD會受到密碼政策定期修改密碼,因此,管理員帳密主要以AD裡面的User為主,並且該User要屬於群組「MIS」之中。
此外,CPPM內的admin帳號被會取消,另外建置一組jn-admin在cppm中。確保忌諱admin帳號是無法順利登入。
ClearPass已經新增AD驗證源「AD43」。※AD名稱請依據實際環境調整
關閉[Admin User Repository]內不必要的帳號
因為[Admin User Repository]驗證 > Service,所以在[Admin User Repository],新增一組備用本地admin帳密,然後再關掉不必要的帳密。
※關閉跟登入帳號相同的帳號,會觸發登出,要留意!沒有特權帳號可以登入使用的話就尷尬了!
這邊新增一組jn-admin作為本地備援帳號,外部驗證源都有可能會受影響無法使用,留下一個本地是保險手段。
複製[Policy Manager Admin Network Login Service]然後修改
[]為預設值,預設無法調整,因此建議先複製出一份,再改成如圖的名稱(去掉[]),並且移動在最上方,並且確定Status為enable。
在驗證源的部分,放入AD作為驗證源
在Roles,新增一個Role Mapping「Policy Manager Admin Network Login Service」
並且條件設定為「Authorization:AD43:memberOf」、「CONTAINS」、「MIS」為「[TACACS+ Super Admin]」。
而Enforcement就維持原樣即可
在AD內,新增示範帳號,群組MIS,並加入
新增User,這邊使用「jn-mis」
新增Group,這邊使用「MIS」。※要留意大小寫要一致。
對User「jn-mis」按右鍵,內容,分頁「隸屬於」(member of),新增,輸入「MIS」,然後按下確定。
測試
使用admin帳號登入 => 應失敗
使用jn-mis登入 => 應成功
ClearPass可以看到認證成功。※一般來說不用帶網域,除非有修改AD的Filter。
如何檢測AD使用者是否要帶網域
一般來說不用帶網域,這取決如自己Query如何撰寫。
如果是以下寫法,就需要使用完整域名。
調整AD Filter後,就能改變驗證時要輸入的使用者。
AD作為驗證源,可以新增多個,去對應不同的Base DN,減少縮小範圍,增加效率。也可以調整Filter。
延伸議題
應對AD定期修改密碼政策
https://chatgpt.com/share/69854884-81b4-8003-a4cc-e9c594b14df5
ClearPass AD Filter討論
https://airheads.hpe.com/discussion/clearpass-ad-filter-query-sam-upn