aruba培训clearpass基本安装配置

ARUBASELAB培训教程

Class02

ClearPass基本配置当今的网络认证/授权需求支持更多的终端、用户和协议越来越多的智能终端开始连接网络，不仅仅是Windows终端802.1X具有更好的安全性，但是要求认证服务器具有更高的性能用户帐号信息保存在各种数据库中（AD,LDAP,SQL数据库，Token）越来越多的访客上网服务，要求提供灵活便捷的访客帐号管理机制日益发展的Cloud应用要求具备对单点登录（SSO）能力的支持支持更加复杂的基于情境的授权通常认证过程只能提供“是”或者“否”两种结果支持更多的场景识别并提供更加精细的网络授权能够实现分层次的多重网络授权规则和授权条件有效利用第三方终端管理系统存储的情境信息传统Radius认证系统的挑战

可视性和故障分析能力不足无法对连接到网络中的终端进行自动识别和信息收集缺乏情境感知能力，如终端类型、完整性、资产类别等没有直观易用的故障诊断工具以及认证/授权日志扩展性和可靠性不足缺乏足够的EAP加解密处理能力不支持active-active集群技术和中心化管理缺乏丰富的功能仅提供有限的AAA,TACACS+不提供真正关注于情境的授权缺少便捷的访客账户管理功能ARUBAClearPass策略服务器1234ClearPass认证服务模块传输网Profile:提供业界产品覆盖最广、准确率最高的设备分析系统,可以动态监视新连接，并自动分析新侦测到的设备On-Board:提供无感知的802.1x认证参数配置，使IT人员可以轻松创建、管理802.1X终端设备On-Guard:在终端入网前根据预置的安全入网条件进行检查，包括：防毒软件、防火墙、软件版本补丁等Guest:提供企业自定义个性化portal、访客自注册系统、按需广告推送,外置Raidus功能ClearPass服务器安装ClearPass服务器的安装步骤ClearPass服务器的安装步骤ClearPass服务器的安装步骤ClearPass服务器的安装步骤ClearPass服务器的安装步骤注意：此时如果直接给虚拟机加电会导致如下错误，原因在于ClearPass需要添加第二块硬盘才能正常启动此处添加的硬盘大小需要符合ClearPass虚拟机资源配置要求ClearPass服务器的安装步骤ClearPass服务器的安装步骤ClearPass服务器的安装步骤输入管理员默认帐号和密码：appadmin/eTIPS123ClearPass服务器的安装步骤配置IP地址参数和NTP服务器（可以使用）ClearPass服务器的安装步骤确认IP地址参数和系统时间参数ClearPass服务器的安装步骤ClearPass服务器的安装步骤ClearPass配置逻辑ClearPass认证服务模型认证定义认证方法、认证源和认证策略AD,LDAP,SQL,令牌服务器,内置数据库授权定义可用的授权源利用不同授权源的多重属性定义授权策略角色映射定义服务器内部角色利用用户和终端属性定制角色映射规则健康检查收集终端健康信息定义健康检查的内容策略决策基于角色、健康状态、情境条件进行决策多种策略–Role,VLAN,ACL下发，CoA等ClearPass配置逻辑ClearPass配置界面ClearPass配置菜单EAPornon-EAPmethodforclientauthentication.PolicyManagersupportsfourbroadclassesofauthenticationmethods:EAP,tunneled:PEAP,EAP-FAST,orEAP-TTLS.EAP,non-tunneled:EAP-TLSorEAP-MD5.Non-EAP,non-tunneled:CHAP,MS-CHAP,PAP,orMAC_AUTH.MAC_AUTHmustbeusedexclusivelyinaMAC-basedAuthenticationService.WhentheMAC_AUTHmethodisselected,PolicyManager:(1)makesinternalcheckstoverifythattherequestisindeedaMACAuthenticationrequest(andnotaspoofedrequest)and(2)makessurethattheMACaddressofthedeviceispresentintheauthenticationsource.ClearPass配置菜单AnAuthenticationSourceistheidentityrepositoryagainstwhichPolicyManagerverifiesidentity.ItsupportstheseAuthenticationSourcetypes:

MicrosoftActiveDirectory

anyLDAPcompliantdirectory

RSAorotherRADIUS-basedtokenservers

SQLdatabase,includingthelocaluserstore.

StaticHostLists,inthecaseofMAC-basedAuthenticationofmanageddevices.ClearPass配置菜单AnAuthorizationSourcecollectsattributesforuseinRoleMappingRules.Youspecifytheattributesyouwanttocollectwhenyouconfiguretheauthenticationsource.PolicyManagersupportsthefollowingauthorizationsourcetypes:

MicrosoftActiveDirectory

anyLDAPcompliantdirectory

RSAorotherRADIUS-basedtokenservers

SQLdatabase,includingthelocaluserstore.ClearPass配置菜单AnAuthenticationSourceistheidentityrepositoryagainstwhichPolicyManagerverifiesidentity.ItsupportstheseAuthenticationSourcetypes:

MicrosoftActiveDirectory

anyLDAPcompliantdirectory

RSAorotherRADIUS-basedtokenservers

SQLdatabase,includingthelocaluserstore.

StaticHostLists,inthecaseofMAC-basedAuthenticationofmanageddevices.ClearPass配置菜单PolicyManagerevaluatesRequestsagainstRoleMappingPolicyrulestomatchClientstoRole(s).AllrulesareevaluatedandPolicyManagermayreturnmorethanoneRole.Ifnorulesmatch,therequesttakestheconfiguredDefaultRole.ClearPass配置菜单AnInternalPosturePolicytestsRequestsagainstinternalPosturerulestoassesshealth.Postureruleconditionscancontainattributespresentinvendor-specificposturedictionaries.ClearPass配置菜单PolicyManagertestsPostureTokens,Roles(andsystemtime)againstEnforcementPolicyrulestoreturnoneormorematchingEnforcementProfiles(thatdefinescopeofaccessfortheclien