Regelwerk für Authorisierungen

Anforderung

Ziel ist die Erstellung einer Authorisierungslogik für 802.1x. Zudem soll nach erfolgreicher Authorisierungen eines Benutzer mit bestimmter Gruppenzugehörigkeit ein spezielles Attribute gesetzt werden.

Umsetzung

Der secNAC Policy Konfigurator ermöglicht die übersichtliche Erstellung von solchen geschachtelten Bedingungen sowohl für die Authorisierungen als auch für darauffolgenden Aktionen, sogenannten PostAuthRules.
Zuerst wird die Logik für die Authorisierung definiert. Es wird überprüft ob ein Radius Attribut mit dem Namen EAP Message vorhanden ist, ob der NAS-Port-Type Wireless-802.11 (19) entspricht und das Network Device der Gruppe IoT-Test-Grp angehört. Anschließend wird der EAP Authenticator definiert und eine PostAuthRule hinzugefügt. Mit dem OGNL Ausdruck #AuthenticationDatasource.ds("TIM.NOC Domain").currentAuthenticatedUser().isMemberOfGroup("Domain Users") lässt sich der aktuelle Benutzer herausfinden und auf eine Gruppenzugehörigkeit überprüfen. Ist diese gegeben wird die Anfrage akzeptiert und das Attribute gesetzt.

Komplexe Gast-Portale

Anforderung

Externe Mitarbeiter und Gäste benötigen einen einfachen und sicheren Zugang ins Netzwerk. Dabei sollen Berechtigungen und Dauer individuell gesetzt werden können.

Umsetzung

Verschiedene Loginmöglichkeiten über Benutzername / Passwort für regelmäßige Benutzer sowie Selbstregistrierung und Login via Authcode mit Sponsorfreigabe für neue Gäste.

secNAC guest portal workflow overview

Die Übersicht veranschaulicht die verschiedenen Möglichkeiten eines Gastes sich mit dem Netzwerk zu verbinden. Unten finden Sie die jeweils dazugehörenden Beispielportale und zuletzt eine detailiertere Gesamtübersicht.

secNAC guest authcode
secNAC guest username password
secNAC guest full self-registration
secNAC guest sponsor mail
secNAC guest sponsor grant
secNAC guest workflow detail
Previous Next