碼上歡樂
相關內容    簡體    繁體

自學Aruba5.1-Aruba 基於角色(role)的策略管理(重點)

本文轉載自   查看原文   2018-01-16 10:53   1394 

點擊返回:自學Aruba之路

自學Aruba5.1-Aruba 基於角色(role)的策略管理(重點)

1. 角色Role介紹   

在ArubaOS中,用戶(User)指的是已經完成連接,並獲取到IP地址的終端。
Aruba控制器中的每一個用戶(User)都會被派生一個角色(Role),不管是無線用戶或者是有線用戶。

SSID profile:  配置用戶可見的ESSID,及其加密方式,如open、wep、wpa-tkip、wpa2-aes,以及使用pre-share key靜態密鑰還是802.1x。

AAA profile: 配置用戶認證方式(mac、802.1x、captive-portal、VPN),關聯相應AAA認證服務器(Radius、TACACS+、LDAP及Internal DB)。

Virtual-AP profile:  關聯上述SSID profile和AAA profile以構成一組WLAN服務模版,並為其分配vlan。

AP Group:可以將不同的Virtual-AP profile放置在一個組內。

如果控制器添加了PEFNG License,可以通過角色(Role)控制每個用戶的網絡訪問權限及帶寬策略。

  • 每一個role都必須與一個或多個防火牆策略綁定
  • 防火牆策略按次序從上往下匹配執行
  • 如果匹配到一個策略,就會停止匹配
  • 最后一個隱含的缺省策略(Policy)是“deny all” (需要PEFNG License)
  • 可以設定role的帶寬限制和會話數限制
  • 可以設定role綁定固定vlan
  • 策略(Policy)里面沒有隱含缺省“deny all”的rule

2 role應用分配方式

2.1 角色分配方式介紹

ARUBA控制器中的每一個用戶都會被分配一個角色(Role)。如果控制器添加了PEF License,可以通過用戶角色(Role)控制每個用戶的網絡訪問權限及帶寬策略

  • 每一個role都必須與一個或多個防火牆策略綁定
  • 防火牆策略按次序執行
  • 最后一個隱含的缺省策略是“deny all”
  • 可以設定role的帶寬限制和會話數限制

用戶角色(Role)的派生可以通過多種方式實現 ,按照優先級從低到高分別是:

  • initial user role初始化派生角色和Virtual AP的VLAN;
  • user-derived role用戶派生角色
  • Default role默認派生角色
  • 認證服務器返回的屬性,如內置服務器或者LDAP,
  • Radius服務器返回的Aruba Vendor-Spectiifc Attributes(VSA)屬性。

2.2 角色派生方式順序和流程圖

 

3. 角色派生方式詳細介紹

3.1 Initial Role 初始化派生角色

  • 在認證前派生的角色,屬於臨時的角色,在認證后系統會重新做角色派生;
  • MAC認證、Captive Portal認證需要定義認證前的初始化派生角色;
  • OPEN和PSK由於不需要認證,因此連接成功后的用戶角色也是屬於Initial Role。

3.1.1 Initial Role是在aaa-profile中定義,具體配置如下:
①采用命令行配置:

1 (YK_Master) (config) #aaa profile open-profile 
2 (YK_Master) (AAA Profile "open-profile") #initial-role authenticated

② WEB管理配置:
在Security > Authentication >AAA Profiles中

3.1.2 User-Derived Role用戶派生角色

  • 在認證前派生的角色;
  • OPEN、PSK、MAC、captive-portal、802.1X認證前都可以做用戶角色派生;
  • 用戶派生角色,可以為用戶定義role和VLAN屬性;
  • 可以根據根據用戶的各種參數派生角色,比如MAC地址、加密方式等。

 常用的參數如下:

 

Initial Role是在aaa-profile中定義,具體配置如下:
①采用命令行進行配置:
定義用戶派生規則:

1 (Aruba650) (config) #aaa derivation-rules user deri-role-mac
2 (Aruba650) (user-rule) #set vlan condition macaddr equals 60:d8:19:c4:fa:fd set-value 200
3 (Aruba650) (user-rule) #set role condition macaddr equals 60:d8:19:c4:fa:fd set-value vlan200-role
4 (Aruba650) (user-rule) #exit

作用到aaa-profile:

1 (Aruba650) (config-role) # aaa profile web-mac-profile
2 (Aruba650) (AAA Profile "web-mac-profile") #user-derivation-rules deri-role-mac
3 (Aruba650) (AAA Profile "web-mac-profile") #enforce-dhcp ##強制DHCP獲取IP地址
4 (Aruba650) (AAA Profile "web-mac-profile") #exit

②采用WEB管理進行配置:
在Security > Authentication >User Rules中定義規則:

把規則作用到aaa profile:

 

3.1.3 Server Derived Roles服務器派生角色

  • 在認證后派生的角色;
  • 根據認證服務器返回的屬性值進行角色派生;
  • 可以是ArubaOS內置服務器指定role屬性,也可以用LDAP服務器、Radius服務器返回的屬性值。

3.1.3.1 內置服務器
①采用命令行進行配置:
如果采用內置服務器進行認證,配置如下:
定義服務器:

1 (Aruba650) (config) #aaa server-group web-server
2 (Aruba650) (Server Group "web-server") #auth-server Internal
3 (Aruba650) (Server Group "web-server") #set role condition role value-of ##定義根據服務器返回的role值進行角色派生
4 (Aruba650) (Server Group "web-server") #exit

在InterBD建立用戶並定義角色:

1 (Aruba650) #local-userdb add username test2 password 123456 role web-2

 注:為內置數據庫用戶定義role需要PEFNG許可證,如果沒有PEFNG許可證的話,默認是guest。
②采用WEB管理配置如下:

3.1.3.2 LDAP服務器
    ArubaOS可以匹配LDAP服務器返回的屬性值進行角色派生。
①用命令行配置如下:
   配置LDAP作為用戶數據庫
配置方式一:

1 (Aruba650) #configure terminal 
2 (Aruba650) (config) #aaa authentication-server ldap ad
3 (Aruba650) (LDAP Server "ad") #host 192.168.2.254
4 (Aruba650) (LDAP Server "ad") #admin-dn cn=rui,cn=Users,dc=ruitest,dc=com
5 (Aruba650) (LDAP Server "ad") #admin-passwd 123456
6 (Aruba650) (LDAP Server "ad") #allow-cleartext 
7 (Aruba650) (LDAP Server "ad") #base-dn cn=Users,dc=ruitest,dc=com
8 (Aruba650) (LDAP Server "ad") #preferred-conn-type clear-text 
9 (Aruba650) (LDAP Server "ad") #exit

配置方式二:

1 aaa authentication-server ldap leeman-ad
2 host 172.23.1.52
3 admin-dn edpmgh@leemanpaper.com
4 admin-passwd mghamgh
5 base-dn DC=leemanpaper,DC=com
6 exit

配置方式三:

1 aaa authentication-server ldap "LKKAD"
2 host 10.80.0.103
3 admin-dn "SAUCEGROUP\flh"
4 admin-passwd 9eeae49699b16afd5fff093a5fd4fbf8d6e4bd38f7929694
5 allow-cleartext
6 base-dn "DC=saucegroup,DC=ad,DC=lkk,DC=com"

查詢是否跟LADP建立讓認證關系

1 (Aruba650) #aaa test-server pap ad rui 123456
2 Authentication Successful

查看LDAP返回的值

 1 (Aruba650) # aaa query-user ad wang1
 2 objectClass: top 
 3 objectClass: person 
 4 objectClass: organizationalPerson 
 5 objectClass: user 
 6 cn: wang1 
 7 sn: wang1 
 8 distinguishedName: CN=wang1,CN=Users,DC=ruitest,DC=com 
 9 instanceType: 4 
10 whenCreated: 20120414110333.0Z 
11 whenChanged: 20120414110404.0Z 
12 displayName: wang1 
13 uSNCreated: 368694 
14 memberOf: CN=tech1,CN=Users,DC=ruitest,DC=com   ##返回值中的用戶組,AC可以根據返回值匹配來定義該用戶所屬的組
15 uSNChanged: 368706 
16 name: wang1 
17 objectGUID: n\240\203\277T\345\002K\235\202y\351\372\240<\376 
18 userAccountControl: 66048 
19 badPwdCount: 0

AC可以根據返回值匹配來定義該用戶所屬的組命令如下:
把認證服務器修改成外部的LDAP服務器

1 (Aruba650) #configure terminal 
2 (Aruba650) (config) #aaa server-group web-server
3 (Aruba650) (Server Group "web-server") #no auth-server Internal
4 (Aruba650) (Server Group "web-server") #auth-server ad
5 (Aruba650) (Server Group "web-server") #set role condition memberOf equals CN=tech1,CN=Users,DC=ruitest,DC=com set-value web-1   ##返回組名為test1,匹配到role web-1
7 (Aruba650) (Server Group "web-server") #set role condition memberOf equals CN=tech2,CN=Users,DC=ruitest,DC=com set-value web-2
8 (Aruba650) (Server Group "web-server") #exit

②用WEB管理配置如下:
定義LDAP服務器:

進行連接測試:

3.1.3.3 Radius服務器

采用Radius服務器的話,可以根據Radius服務器返回的VSA(Vendor Specific Attributes)值進行角色派生,該角色優先級最高,為其派生角色后,用戶的角色就不會先更改。
①用命令行配置如下:
配置Windows IAS服務器

1 (Aruba650) #configure terminal 
2 (Aruba650) (config) #aaa authentication-server radius ias 
3 (Aruba650) (RADIUS Server "ias") #host 172.18.2.254
4 (Aruba650) (RADIUS Server "ias") #key 123456
5 (Aruba650) (RADIUS Server "ias") #exit

修改配置,定義認證服務器為外部服務器:

1 (Aruba650) (config) #aaa server-group dot1x-server
2 (Aruba650) (Server Group "dot1x-server") #auth-server ias
3 (Aruba650) (Server Group "dot1x-server") # set role condition role value-of
4 (Aruba650) (Server Group "dot1x-server") #exit

② 用WEB管理如下:
定義Radius

定義Radius服務器為認證服務器:

3.1.3.4 Default Roles默認角色派生

  • 認證后派生的角色;
  • 認證后,如果沒有服務器派生角色,那么就會采用默認派生角色;
  • 可以得到默認角色的認證有:802.1x, MAC,VPN。

①用命令配置默認派生角色:

1 (Aruba650) (config) #aaa profile YK_Guest_Web
2 (Aruba650) (AAA Profile "psk-profile") #mac-default-role role-1 ##MAC認證默認派生角色
3 (Aruba650) (AAA Profile "psk-profile") #dot1x-default-role role-1 ##802.1x認證默認派生角色

②用WEB管理配置如下:

 


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 自學Aruba之路 自學Aruba集錦 自學Aruba2.1-Aruba Web UI --Dashbord面板介紹 自學Aruba3.1-Aruba配置架構-WLAN配置架構 自學Aruba6.3-賬號管理(web頁面配置) 自學Aruba4.1-Aruba開機初始化 自學Aruba4.2-Aruba AC基礎配置(1) 自學Aruba4.3-Aruba AC基礎配置(2) 自學Aruba6.1-基本網絡參數配置(web頁面配置) 自學Aruba1.1-WLAN一些基本常識
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM