设置ClearPass时,您始终需要对操作员进行身份验证。在这篇文章中,我将描述一种使用Active Directory进行ClearPass Operator登录的简便方法。我在这里使用广告,因为我的大多数客户都使用广告。因此,我们可以使用它,不必在ClearPass中设置新事物或使用管理数据库。这只会创建一个带有单独密码和单独结构的影子数据库。
ClearPass操作员登录 - 复制现有服务
ClearPass也将其自身用于身份验证。这意味着,当您点击ClearPass登录页面上的登录按钮时,ClearPass创建TACACS请求并通过服务对用户进行身份验证。此服务是默认的“ [策略管理器管理网络登录服务]:
要删除或禁用此服务使ClearPass无法对操作员进行身份验证。因此,最好的选择是调整服务以使用广告。但是,这是一项默认服务,您无法更改它。唯一的选择是复制服务并修改副本。要复制服务,请选择服务(在行开头的选中标记),然后按表底部的“复制”按钮。这将在最后一行创建新服务。打开此服务以修改服务:
该服务与原始服务相同。但是我们很快就会改变这一点。
ClearPass操作员登录 - 修改默认服务的副本
选择第二个选项卡,“服务”,至少更改名称:
您还可以更改描述,但实际上,默认描述非常好。
转到“身份验证”:
将广告添加到“身份验证来源”列表中。我还将其设置在列表的顶部,因为这是我为用户提供的主要存储库。将现有资源留在列表中。
我的用户将“ user@domain.tld”用作身份验证名称。要从名称中剥离“@domain.tld”,启用“ strip用户名规则”,然后添加“用户:@”。
转到“角色”选项卡:
您不必使用角色映射。但是,如果您这样做,这会使生活更轻松。我有一个默认的角色映射配置文件。我的Active Directory中的每个组(用于身份验证和/或授权)都在ClearPass中发挥作用。此角色映射轮廓将小组从AD映射到ClearPass中的角色。角色映射的好处是在下一个选项卡上:
这是默认执行策略。默认角色有很多条件。我只是将广告组与这些角色匹配,因此我可以使用“ [管理网络登录策略]”。这节省了我很多时间。但是,与往常一样,您当然可以制定自己的规则和政策。但是请记住,要制定后备计划,将上面的条件包括在政策中。这确保您可以在灾难条件下使用本地管理员帐户。因此,将管理帐户的默认密码更改为安全且复杂的事物,然后将其隐藏在某个地方。
ClearPass操作员登录 - 激活服务
要使用新服务,您必须将其移动到旧服务的前面。返回到“服务”列表,然后单击“重新排序”按钮:
将其移至位置。而现在,手指越过它有效。从ClearPass注销,并使用广告帐户再次登录。为了使其更加安全,请使用其他浏览器测试登录,而无需登录。
如果您再次进入,我们做到了正确。您现在可以禁用旧服务。只需单击行末尾的绿灯即可。它变成红色。
另外,使用内置帐户测试登录名,以确保返回计划正常工作。
