
เมื่อคุณตั้งค่า ClearPass คุณจำเป็นต้องตรวจสอบผู้ให้บริการ(operator) ของคุณเสมอ ในบทความนี้ผมจะอธิบายถึงวิธีที่ง่ายในการใช้ Active Directory สำหรับ operator login ด้วย AD เพราะลูกค้าส่วนใหญ่ของผมใช้ AD ดังนั้นเราจึงไม่จำเป็นต้องตั้งค่าใหม่หรือใช้ฐานข้อมูลผู้ดูแลระบบในClearPass แต่จะไปสร้าง shadow database ที่มีรหัสผ่านและโครงสร้างที่แยกต่างหาก
ClearPass Operator Login – สำรองข้อมูลบริการที่มีอยู่แล้ว
ClearPass มีระบบตรวจสอบสิทธิ์ (authentication)เช่นกัน เมื่อคุณกดปุ่มล็อกอิน ClearPass จะสร้างคำขอTACACS และตรวจสอบสิทธิ์ผู้ใช้กับบริการนั้นๆ โดยมีบริการนี้เป็นค่าdefault”[Policy Manager Admin Network Login Service]”:
หากต้องการลบหรือปิดใช้งานบริการนี้เพื่อไม่ให้ ClearPassตรวจสอบสิทธิ์ของ operator ตัวเลือกที่ดีที่สุดคือการใช้AD แต่ค่าdefault นี้คุณไม่สามารถเปลี่ยนแปลงได้ มีทางเดียวคือการคัดลอกบริการและแก้ไข ให้กดเลือกบริการที่ต้องการคัดลอกด้วยการกาเครื่องหมายถูกที่ด้านหน้าแถว และกดปุ่ม “Copy” ที่ด้านล่างตาราง บริการใหม่จะถูกเพิ่มเข้ามาในแถวสุดท้าย ให้ทำการเปิดบริการนี้เพื่อแก้ไข:
ชื่อบริการจะมีคำ Copy นำหน้า เราจะแก้ไขต่อไป
ClearPass Operator Login – แก้ไข copyของ Default Service
ให้เลือก tab ที่สอง“Service” แล้วอย่างน้อยให้ทำการเปลี่ยนชื่อ
จะแก้ description ก็ได้ แต่ของเดิมก็ดีอยู่แล้ว ดังนั้นกดไปที่ “Authentication” tab
เพิ่ม AD ลงในรายชื่อ “Authentication Sources” ผมยังกำหนดให้อยู่ด้านบนของรายการเนื่องจากเป็นพื้นที่เก็บข้อมูลหลักของผมสำหรับผู้ใช้
ชื่อผู้ใช้ของผม “user@domain.tld”สำหรับตรวจสอบสิทธิ์ เมื่อต้องการเอา “@ domain.tld” ออกจากชื่อให้เปิดใช้ “Strip Username Rules” แล้วเพิ่ม “user: @”ลงไป
ไปที่tab”Roles”:
คุณไม่จำเป็นต้องใช้roles mapping แต่มันทำให้ทุกอย่างง่ายขึ้นถ้าคุณทำ ผมมีrole mapping ตั้งค่าไว้อยู่แล้ว ทุกกลุ่มใน AD ซึ่งใช้authentication หรือ authorization มี Roleใน ClearPass การใช้ role mapping เป็นการ map ระหว่าง AD group กับClearPass Role ซึ่งเราจะใช้ใน tab ต่อไป:
ไปที่ tab Enforcement นี่คือค่าเริ่มต้น มีเงื่อนไขมากมายสำหรับบทบาทเริ่มต้น ผมเพียงแค่จับคู่กลุ่ม AD กับ Rolesที่ใช้ใน “[Admin Network Login Policy]” ซึ่งช่วยประหยัดเวลาได้มาก คุณสามารถตั้งนโยบายของคุณเองได้ แต่จำไว้ว่าควรมีแผนสำรองไว้คือการรวมค่าเหล่านี้ในนโยบายของคุณ ทำให้อย่างน้อยคุณสามารถใช้local admin ได้เมื่อฉุกเฉิน ต่อไปให้เปลี่ยนรหัสผ่านสำหรับบัญชี adminให้ปลอดภัยและซับซ้อน
ClearPass Operator Login – เริ่มใช้ Service
เมื่อพร้อมจะใช้ service ให้ปรับรายการขึ้นมาอยู่เหนืออันเก่า กลับมาที่รายชื่อ “Services” แล้วกดปุ่ม “Reorder”
เลื่อนไปที่ตำแหน่งแรก จากนั้นก็ไขว้นิ้วภาวนาให้ทุกอย่างทำงานได้ผล ออกจากระบบ ClearPass และใช้บัญชี AD เพื่อเข้าสู่ระบบอีกครั้ง เพื่อให้ปลอดภัยยิ่งขึ้นให้ใช้เบราว์เซอร์อื่นเพื่อทดสอบการเข้าสู่ระบบโดยไม่ต้องออกจากระบบก่อน
ถ้าคุณเข้าสามารถเข้ามาอีกครั้งได้ผมก็ยินดีด้วย ขณะนี้คุณสามารถปิด service เก่าได้แล้ว เพียงกดที่ไฟเขียวที่ท้ายแถว มันจะเปลี่ยนเป็นสีแดง
นอกจากนี้ให้ทดสอบการล็อกอินด้วยบัญชีbuilt-in เพื่อให้แน่ใจว่าแผนฉุกเฉินก็ทำงานได้
Source : https://community.arubanetworks.com/t5/Technology-Blog/ClearPass-Operator-Login-with-Active-Directory/bc-p/315192#M1476