许多公司正在使用MDM来控制和管理其(移动)资产。通过将MDM解决方案连接到Aruba Clearpass,组织可以可以对(移动)设备进行高级上下文感知到公司网络,有线和无线。ClearPass通过内置的“外部上下文服务器”(例如AirWatch和MobileIron)支持多个MDM解决方案。
Sophos Mobile Control的Sophos的MDM解决方案没有与ClearPass的内置集成。我需要帮助客户将ClearPass与Sophos移动控制联系起来,因为客户希望将BYOD与公司设备区分开。所有公司设备均通过Sophos移动控制进行管理。在此设置中,Sophos移动控件使用MSSQL数据库存储所有相关信息。MSSQL数据库中的一个表中的一个表从资产存储Wi-Fi MAC地址。我使用此表将Boyd设备与公司设备区分开。如果该设备的MAC地址存在于数据库中,则该设备是公司设备。
我首先将MSSQL数据库作为身份验证源添加到ClearPass配置中。客户创建了一个专用的SQL用户,并且只能访问数据库。MSSQL数据库在ClearPass下添加配置 - 身份验证 - 来源。我从类型的“通用SQL DB”添加了一个源。
下一步涉及创建适当的SQL滤波器语句。我想将Wi-Fi MAC地址作为SQL过滤器的输出。以下SQL过滤器用于此(特别要感谢客户,他们在SQL语句上有更多经验)
SELECT LOWER(deviceproperty.value) AS mac_address FROM deviceproperty INNER JOIN device ON deviceproperty.deviceid = device.deviceid WHERE deviceproperty.propertykey = 'Wi-Fi MAC address' AND device.managed = 'managed' AND deviceproperty.value = '%{连接:client-mac-address-nodelim}';
我想使用MAC地址的字符串the authentication/authorization process. In the end, I will check if the MAC address in the RADIUS requests matches a MAC address in the Sophos MDM database. The SQL filter is added in the Filter option within the Authentication Source, like in the image below. Just go to the Attributes tab and choose the option添加更多过滤器。
身份验证源被添加到适当的服务中授权来源。在开始配置某些角色和角色映射之前,我总是先添加源,因为我想看看我从MSSQL数据库中收到的输出。有两个可能的结果:
- MAC地址存在于MSSQL数据库中
- The MAC address doesn't exist in the MSSQL database
如果MAC地址存在于MSSQL数据库中,则将在访问跟踪器中看到MAC地址的值。
如您所见,MAC地址无需任何定界符。如果数据库中不存在MAC地址,则MAC地址将不会在访问跟踪器中列出,您将看到以下警报消息。
现在,我们知道,在身份验证请求期间,我们在访问跟踪器中收到的哪些信息,我们可以配置正确的角色和角色映射。在此示例中,当设备的MAC地址等于MSSQL数据库中的MAC地址时,我将角色[VDI Trust]分配给了设备。
最后一步很容易。只需配置适当的执行策略和配置文件,您就可以匹配该角色,并在Wi-Fi或有线网络上设置正确的属性。
