PRESENTATION TITLE ARIAL 28 PT REGULAR AND CAN BE TWO

社用端末がゲストアクセスすることを防ぐ
1
社内
アクセス
端末A
端末B
有り
無し
802.1x
属性
TRUE
FALSE
Guest
アクセス
拒否
許可
Controller
ClearPassは802.1x認証端末の情報を
Endpoint Profileに登録する
802.1x
•
•
•
•
Captive Portal
Endpoint Profile
MACアドレス
IPアドレス
Fingerprint
カスタム属性：
802.1x:TRUE/FALSH
ClearPass
2
SSID
Guest
SSID
社内
3
A
カスタム属性を作成しておき、社内SSIDに
802.1x認証でアクセスした時にその属性値
をTRUEにする
ゲストアクセス（Captive Portal）で認証時
に、Endpoint Profileの属性（802.1x）が
TRUEの時は認証エラーを返す
B
1
ClearPass設定・動作解説
1. ClearPassは認証端末を自動的にClearPass内部DBのEndpoint Profileに端末情報を
必ず登録する
2. 社内SSIDにアクセス経験の有無を確認するため、Endpoint Profile用の属性値
（AUTHED-VIA-1X）を作っておく
3. 社内SSIDアクセス時（認証時）に、Enforcement ProfileでEndpoint Profileの属性値、
AUTHED-VIA-1XをTRUEに変更する
4. ゲストSSIDのCaptive Portal認証時にEndpoint Profileの属性（ AUTHED-VIA-1X ）を
確認し、値がTRUEの時は認証エラーにすることで、社内アクセス端末がゲストSSIDに
接続できないようにする
2
カスタム属性を作成
• Endpoint Profileで802.1x認証済端末を識別するための属性を作成する
3
属性を変更するためのEnforcement Profileを作成
• 802.1x認証時にEndpoint Profileの属性値を変更する（書込む）ためのEnforcement Profileを作成する
属性値を”true”に変更する
4
Enforcement Policyの作成
• 作成したEnforcement Profileを適用するためのEnforcement Policyを作成
認証に成功した端末
全てが対象の単純な条件
属性値を変更するProfileと、
アクセス許可のProfileを選択
5
ゲストアクセス用のEnforcement Policyを作成
• ゲストアクセス用のサービス設定のEnforcement PolicyでEndpoint Profileの属性値をチェックし、802.1x認証
済端末の場合（属性値=“true”）、アクセスを拒否するProfileを適用させる
属性値がtrueの時はDeny
Access Profileが適用される
属性値がtrue以外で認証が成
功すればAllow Access
Profileが適用される
6
ログの確認
802.1x認証済端末のEndpoint Profile
ゲストアクセス時のアクセストラッカーのログ
7

Download Report