ClearPass除了做Client的網路存取驗證,也可以作為設備的管理員登入驗證使用。
在管理員登入驗證,最重要的是能夠分配權限。
本文將示範如何將Sonicwall管理員登入以RADIUS指向ClearPass做驗證,並且依照AD的Member of,去給與不同的管理權限。
環境
Sonicwall 5800 OS 8
ClearPass 6.11.13
Windows Server 2019 AD
演示
Sonicwall進行登入時,會向ClearPass做驗證。
如果User存在並且Member of為「SonicWALL Administrators」時,取得「SonicWALL Administrators」權限。
如果User存在並且Member of為「SonicWALL Read-Only Admins」時,取得「SonicWALL Read-Only Admins」權限。
由於Sonicwall有Vendor-Specific Attribute (VSA),可以在ClearPass啟用,並且在屬性「SonicWall-User-Group」代入想要的權限群組,透過認證登入的管理者就能取得對應權限。
Sonicwall Local Group
這邊以及後續都是以Local Groups的Name字串對應,以下設定的名稱也都是複製貼上,確保不會因為人為打錯造成影響。
Sonicwall 管理員登入啟用RADIUS驗證
在User => Setting ,Authentication分頁將User Authentication method改成「RADIUS + Local User」。
然後按下「Accept」儲存!!
Sonicwall設定RADIUS
承上點擊「Configure RADIUS」
然後加入CPPM作為Server,輸入IP與PSK
在分頁RADIUS Users,確保勾選「User vendor-specific attribute on RADIUS server」
Windows Server AD
建立兩個User與Group:
Group對應名稱「SonicWALL Administrators」=> jn-admin
Group對應名稱「SonicWALL Read-Only Admins」=> jn-admin2
ClearPass 啟用 Sonicwall RADIUS Dictory
ClearPass Role Mapping
借用預設的Root、Read Only角色。
ClearPass Enforcement
SonicWall – SonicWALL Administrators
SonicWall – SonicWALL Read-Only Admins
ClearPass Enforcement Policy
針對Role Mapping後的角色,給與對應的權限配置。
ClearPass Authentication Source
新增AD做為驗證源,這邊就不詳細敘述如何設定了。
ClearPass Service
把先前設定的在這裡套用,並且將此Service順序移到上方。
成果驗證
jn-admin登入 (administrator)
順利取得完整權限!
在此頁面可以看到該User的所屬的所有Group。
jn-admin2登入 (read only)
取得Read Only權限。
