在做MAC認證時,經常會發生一種狀況,就是MAC清單要放在哪裡?如何管理?以及如何搭配驗證。
維護經常變動的MAC清單需要的是方便管理的平臺,像以圖形化介面提供簡易的操作。而MAC清單可以放置在許多伺服器上,一旦不與認證伺服器相同時,認證伺服器就需要從外部導入MAC清單。
若只以一次性轉移,認證伺服器的MAC清單會停留在最後一次操作的版本,無法實時更新。
因此,需要以某種方式與管理MAC清單的伺服器串接,認證伺服器在進行MAC驗證時,會從管理MAC清單的伺服器上取得最新MAC清單資訊。
在ClearPass中,身份驗證源的類型可以支援
- Active Directory
- Generic LDAP
- Generic SQL DB
- HTTP
- Kerberos
- RADIUS/RadSec Server
- Static Host List
- Token Server
在上述類型,通常以「SQL DB」、「HTTP」、「RADIUS」從取得外部資訊進行驗證,可以配合對端接口選擇使用。
| 驗證源類型 | 對端類型 | 安全性 |
| SQL DB | SQL DB | 高 |
| HTTP | 依照Client網址參數,回傳查詢結果。 | 低 |
| RADIUS | RADIUS | 高 |
SQL DB
SQL DB是非常普遍的方案,透過DB管理資料,方便寫入也方便取出。
一般在儲存資料的部分,具有一定資料量的話會以DB去進行保存,如果DB能支援外部存取,就能給其他設備連線存取DB。
SQL DB常見有MySQL、PostgreSQL、MS SQL,這些能支援其他設備連入進行查詢。
小型專案會使用SQLite,但不支援多人同時編寫、以及外部查詢功能。
外部存取時需要進行身份驗證,因此可避免資料能輕易被他人取得。
HTTP
透過網頁回應也是常見方案,伺服器透過客戶端使用的網址取得參數,並且使用該參數去查詢資料並回傳結果。
一般HTTP少做身份驗證,因此資料容易被其他人取得。(ClearPass支援有身份驗證的HTTP)
若使用HTTP傳送資料,資料格式主要使用json,而ClearPass也是預設接收到此資料格式,然後可以對回傳結果做簡易的屬性分類。
回傳結果只能單筆,不能一次多筆,否則無法正確分類出屬性。
RADIUS
如果MAC清單放在其他的RADIUS Server上,ClearPass能以向RADUIS Server發送驗證資訊,然後對端RADIUS Server進行驗證並回應結果。
大多RADIUS Server在MAC清單管理上,沒有方便操作的介面與管理欄位,因此較少用於存放MAC清單。
整合要點
存放MAC清單的伺服器要提供一個ClearPass可以串接的方式。
- SQL DB:提供IP、Port、Username、Password、SQL語法。
- HTTP:將資料以JSON格式呈現,能接受URL的參數去查詢資料並回傳符合的資料。
- RADIUS:提供IP、Port、Share Key。
如果MAC清單是使用能外部連入存取的DB管理,建議先以SQL DB串接。
如果放入不便從外部存取的DB,則建議以HTTP方式串接,並將資料以JSON格式回傳。
ClearPass透過HTTP從外部取得
這部份實例可以參考