Downloadable User Role(DUR)是能從ClearPass上下載User Role到Mobility Gateway或是Switch上。
- 權限設定中心化,日後在ClearPass管理使用者角色的存取權限,方便做不同類別
- 簡化設備設定,只需要確保Mobility Gateway或是Switch能從ClearPass上下載User Role。
在以認證爲主體的網路管控環境,網管人員連入ClearPass察看機會比起基礎網路設備更高,因此,集中起來,在日後管理也會比較方便。
對於權限控管,建議使用Role Based的概念去設計。
- 將網路使用裝置與使用者制定一個角色(Role)。
- 每個角色需要具備「明確的」「可在驗證時輸入」的特徵。
- 用明確的角色去添加配置。
分成幾個步驟
- CPPM建立權限爲DUR的管理員使用者。
- Controller設定Auth Server(CPPM),並在設定中輸入DUR的管理員使用者的帳密。
- Controller設定需經認證的Wi-Fi,並啓用Download Role From CPPM
- CPPM針對該Wi-Fi,建立Enforcement Profile DUR與Enforcement Policy。
- CPPM針對該Wi-Fi,建立Service,並使用DUR。
- 測試連線,檢查DUR運作
CPPM建立權限爲DUR的管理員使用者
Controller設定Auth Server(CPPM),並在設定中輸入DUR的管理員使用者的帳密
Controller設定需經認證的Wi-Fi,並啓用Download Role From CPPM
有兩個地方可以察看設定:
- 從WLAN => <Wi-Fi> => Access
2. Authentication => AAA Profiles => <Wi-Fi aaa profile> => Download Role from CPPM
CPPM針對該Wi-Fi,建立Enforcement Profile DUR與Enforcement Policy
Enforcement Profile:Aruba DUR
在建立過程,建議在名稱打上dur以及其適用OS,方便在Enforcement Policy時選擇。
DUR有兩種模式:Standard、Advanced。
DUR是下載相關指令並輸入到Controller或是交換器,對於指令熟悉的話,只要能正確輸入到Controller或是交換器,使用Advanced並直接輸入指令會比較方便。
如果不熟悉,可以使用Standard編寫,最後在Summayu察看指令。
如果使用「Advanced」注意!!!指令前面不能有空白或是製表符
以下是範本
ip access-list session it
any host 168.95.1.1 icmp echo permit
any host 8.8.8.8 icmp echo permit
any any any permit
!
user-role it
access-list session it
!建立Enforcement Policy,則遵照角色對上配置的原則。
CPPM針對該Wi-Fi,建立Service,並使用DUR
建立一個專屬的Service,套用Enforcement。
測試連線,檢查DUR運作
如果dur正確運作,Client的Role會是「CPPM的Enforcement Profile DUR的名稱 + 流水號」
如果不是,則需要檢查CPPM的Enforcement Profile DUR設定以及LOG,確認是以下哪個環節出問題。
- NAS不信任CPPM的HTTPS憑證:常見於Switch上。
- Enforcement Profile DUR的Value有誤:每行是否有空白?測試NAS能不能正常輸入?有沒有使用到內建配置的名稱?
- LOG:可以從NAS上的LOG查看,通常會寫到是什麼因子導致DUR無法正常套用。