はじめに
Aruba ClearPass Policy Manager および ClearPass Onboard を使用したプロビジョニングを行うための設定方法について記載します。
なお、ここでは以下のプロビジョニング・シーケンスのうち、赤枠部分を対象としています。
また、必要最低限の設定内容について記載します。
モビリティ・コントローラ側の設定の方法については以下記事に記載しています。
作業環境
- Aruba ClearPass 6.7.X
プロビジョニング用サービスの設定
ClearPass Policy Manager の [設定 » ここから開始] 画面にて [Guest Access] をクリックします。
Service Templates – Onboard 画面が表示されるため、各項目を設定していきます。
[General] タブでは、Name Prefix 欄に、この設定によって作成されることになる各サービスの名前の接頭辞となる任意の文字列を指定します。
[Wireless Network Settings] タブでは、Slect Wireless Controller 欄で RADIUS オーセンティケータを指定します。これはネットワークデバイス設定で既に設定済みのデバイスの中から選択することになります。
[Device Access Restrictions] では、アクセス許可するスケジュールを指定しますが、通常はデフォルトのままで OK です。
[Provisioning Wireless Network Settings] タブでは、プロビジョニングによって最終的に接続させたい SSID を指定します。その後 [Add Service] をクリックします。
サービス一覧に以下画像のようにサービスが 3 つ追加されていることを確認します。
- <指定した接頭辞> Onboard Provisioning
- どのタイミングで動作するか不明。削除しても動作に影響は無い
- <指定した接頭辞> Onboard Authorization
- プロビジョニング・シーケンスの中の、クライアントで QuickConnect を実行し証明書インストール処理をする際に動作するサービス
- <指定した接頭辞> Onboard Pre-Auth
- プロビジョニング・シーケンスの中の、クライアントで Web 認証ページにアクセスした際の認証時に動作するサービス
作成されるエンフォースメント・ポリシーおよびプロファイル
プロビジョニング用のサービスを作成したタイミングで、それらのサービスに紐づけられるエンフォースメント・ポリシーも同時に作成されます。
さらに、追加されたエンフォースメント・ポリシーに紐づけられるエンフォースメント・プロファイルについても同時に作成されます。
Onboard の設定
続いて ClearPass Onboard にて以下の設定を行います。
- ネットワーク設定
- 構成プロファイル
- プロビジョニング設定
ネットワーク設定の作成
[ホーム » Onboard » 構成 » ネットワーク設定] 画面にて [新しいネットワークを作成します] をクリックします。
ネットワーク設定画面となるため各項目を設定していきます。
[アクセス] タブでは以下の通り設定します。
- 名前: 任意の名前
- SSID: プロビジョニングによって最終的に接続させたい SSID
次に [信頼] タブにて以下の通り設定し、[変更を保存] をクリックします。
- Configure Trusted Servers:
- Automatically configure trusted servers (recommended)
- 通常はこちらを選択
- Manually configure certificate trusted servers
- クライアントに iOS が含まれる場合はこちらを選択
- Automatically configure trusted servers (recommended)
ネットワーク設定一覧にて設定が追加されたことを確認します。
構成プロファイルの作成
[ホーム » Onboard » 展開とプロビジョニング » 構成プロファイル] 画面にて [新しい構成プロファイルを作成します] をクリックします。
以下画面が表示されるため、各項目を設定し [変更を保存] をクリックします。
- 名前: 任意の名前を指定
- ネットワーク: あらかじめ作成したネットワーク設定の名前をチェック
構成プロファイル一覧にて設定が追加されたことを確認します。
プロビジョニング設定の作成
[ホーム » Onboard » 展開とプロビジョニング » プロビジョニング設定] 画面にて [新しいプロビジョニング設定を作成します] をクリックします。
以下の画面が表示されるため各項目を設定していきます。
[一般] タブでは以下の通り設定します。
- 名前: 任意の名前を指定
- 認証局: および TLS Certificate Authority:
- ClearPass にインストールしている RADIUS サーバ証明書に署名した認証局を指定
- 構成プロファイル: あらかじめ作成した構成プロファイルを指定
[サポートされるデバイス] タブでは、どのデバイスでプロビジョニングを可能とするかを指定しますが、通常はデフォルトで問題ありません。
[Webログイン] タブでは以下の通り設定します。
- ページ名:
- クライアントで表示される Web 認証ページのページ名を指定
- Web 認証ページの URL は次のようになる
http://<ClearPass の IP>/guest/<ページ名>.php
- Prevent CNA: チェックを外す
- iOS クライアントで Web 認証ページを自動表示させるための設定
[Onboardクライアント] タブでは以下の通り設定し、[変更を保存] をクリックします。
- プロビジョニングアドレス:
- ClearPass のどのアドレスをプロビジョニングで使用するかを指定
- 通常は管理ポートのアドレスを指定
- 証明書の検証: 検証しませんを選択
プロファイル作成が完了するまで待ちます。
プロビジョニング設定一覧にて設定が追加されたことを確認します。
プロビジョニング用サービスの設定変更
最初に作成したプロビジョニング用の各サービスについて一部設定を変更します。
Onboard Authorization サービスの設定変更
プロビジョニング設定とサービスを対応付けるために、サービスルールについて、以下のルールを追加します。
- タイプ: Application:ClearPass
- 名前: Page-Name
- 演算子: EQUALS
- 値: プロビジョニング設定で設定したページ名
次に、認可ソースについて、デフォルトでは [Guest User Repository] となっているため、使用したいソースへ変更します。
Onboard Pre-Auth サービスの設定変更
プロビジョニング設定とサービスを対応付けるために、サービスルールについて、以下のルールを追加します。
- タイプ: Application:ClearPass
- 名前: Page-Name
- 演算子: EQUALS
- 値: プロビジョニング設定で設定したページ名
次に、認可ソースについて、デフォルトでは [Guest User Repository] となっているため、使用したいソースへ変更します。
SSID 接続時に動作するサービスの設定
プロビジョニング実施後に最終的にクライアントが接続する SSID に接続した際に動作するサービスを作成します。
この設定は、通常の EAP-TLS 認証サービスの作成と同様の手順で行います。
以下の記事を参考にしてください。
―――――――――――――