YÊU CẦU: - Bạn có thể đưa ra yêu cầu người dùng tự cung cấp thông tin địa chỉ mail để có thể truy cập mạng trong 5 phút, và nếu user xác nhận địa chỉ mail này thông qua email được gửi tới inbox sẽ được bỏ giới hạn này. - Nếu user không cung cấp mail hoặc địa chỉ email không đúng sau 5 phút họ sẽ bị mất kết nối mạng và trở lại trang đăng nhập. - Đây là cách bạn biết được rằng các user nhập vào một địa chỉ email đúng, và đảm bảo họ có thể ra Internet để xác nhận cùng với địa chỉ email đó là đúng. GIẢI PHÁP: - Chúng ta sẽ đạt được điều trên bằng cách kết hợp giữa thời hạn của phiên truy cập (session timout) đến controller và ghi đè của tài khoản guest khi user xác nhận lại chính họ. CẤU HÌNH: - Đầu tiên, bạn cần kích hoạt xác thực MAC trên controller được ánh xạ với server ClearPass chưa. Sau đó chúng ta cũng cần kiểm tra xác hồ sơ xác thực qua MAC của Aruba Controller (MAC Authentication Profile > Server_Given_Timeout) đã tick vào ô Reauthentication Interval & Use Server provided Reauthentication Interval. - Bạn cũng cần ánh xạ cả ClearPass như là một RFC-3576 server tương ứng với AAA profile trên controller. - Bên cạnh đó các cài đặt khác trên Aruba controller giống với cài đặt của Captive Portal, server-group Captive portal trỏ đến ClearPass. - Tiếp theo, chúng ta có thể đi đến ClearPass Guest Side nơi chúng ta cấu hình trang tự đăng ký với các ô thông tin như hình dưới. Bạn chỉ cần thêm ô email vào mẫu tạo. - Trong phần tạo xác nhận email Sponsor Confirmation: - Bạn cần tick vào ô Enable cho "Require sponsor confirmation prior to enabling the account" và chọn "Email Field" là "email". - Một phần quan trong khác của cấu hình này là Role Override trong cùng trang, để sau đi đã được xác nhận bằng email có thể chuyển đến một role đã được tạo ra sẵn cho user này hay chưa. - Vì vậy, role ban đầu cho tài khoản của user có thể là bất kỳ nhưng role sau khi user đã được xác nhận sẽ được áp dụng là "[Employee]" - Cách đầu tiên trên ClearPass Policy Manager là xác thực bằng MAC [MAC-Auth service] nới "CP-Self-Reg" là tên của SSID bước này chúng ta cần phải chấp nhận tất cả các MAC [Allow All MAC AUTH] - Chúng ta cần [Allow All MAC AUTH] vì tất cả client kết nối lần đầu, chúng ta cho phép lượt truy cập trong 5 phút và đặt ở role chưa được sponsor. - Khi user hoàn tất quá trình đăng ký họ sẽ được cho phép truy cập vào mạng và cũng nhận được email xác nhận để tiếp tục được ở lại truy cập tiếp sau 5 phút. - Bước tiếp theo là cấu hình bộ lọc trong [Guest user Repository], vào trang Configuration > Authenticaton > Sources và chuyển đến mục Attributes. - Bên dưới cuối trang click vào "Add More Filters" - Bạn cần đặt tên cho filter này trong Filter Name. - Trong ô Fiilter Query bạn paste đoạn mã sau - Phần giá trị đang cần tìm được gọi là "Current_Role_ID" vì vậy cần phải đặt tên cho Attribute và Alias Name có thể bất kỳ và chúng ta gọi chúng là "Current Guest Role". - Query nói cho chúng ta nếu user đã kiểm chứng qua email bằng tài khoản của họ hay chưa, bằng cách tìm ra role-id đúng với user sau khi họ đã xác nhận tài khoản đăng nhập. - Bạn cần thêm [Guest User Repository] là nguồn xác thực. - Dưới trang Roles bạn có các rule như hình sau để đảm bảo các user hiện đã được xác thực không quay lại trang Captive Portal. - Tiếp theo trong phần Enforcement Policy bạn cần có các điều kiện như hình dưới: - Giải thích sơ qua về các rule trên: Rule 1: Dành cho các Guest User tạm thời truy cập vào. Rule 2: Các Sponsored Users để xử lý yêu cầu xác thực đến sau 5 phút. Rule 3: Dành cho các user không được xác thực sau 5 phút. Rule 4: Áp dụng tất cả các quy tấc có cho tất cả người dùng mới. - Profile Update to Unknow là chúng ta không mắc kẹt trong một vòng lặp cho user đang ngắt kết nối. - Update Role ID to 3 dành cho các Sponsored Users chuyển đến đúng role. - Session Timeout là profile để giới hạn cho phiên truy cập trong vòng 5 phút với Radius:IETF Session-Timeout = 300s - Bây giờ chuyển đến MAC caching nới "CP-Self-Reg" là tên của SSID. - Kiểm tra các Policy như sau: - Bạn cần đảm bảo rằng bạn cập nhật các endpoint ví như Known và cũng cập nhật cả username theo với thời hạn MAC-Auth Expiry trên một xác thực thành công. KIỂM TRA CÁC TRƯỜNG HỢP: Trường hợp 1: User phải xác nhận và đang trong quá trình truy cập 5ph ban đầu - Kết quả từ xác thực MAC lần đầu tiên - Kết quả của xác thực user - Kết quả của xác thực MAC sau 5 phút Trường hợp 2: User đã xác nhận trong vòng 5ph đầu - Kết quả từ xác thực MAC lần đầu tiên - Kết quả của xác thực user - Thuộc tính khi xác thực lần 2 bằng MAC - Kết quả xác thực MAC lần - Từ các kết quả kiểm tra trên chúng ta xác nhận lại rằng user ngắt kết nối trong 5ph nếu họ không xác thực. Nếu họ xác nhận lại truy cập này chúng ta sẽ thấy các client tiếp tục kết nối vào mạng trong cùng role trên Aruba Controller.
