Aruba Controller
GUÍA DE CONFIGURACIÓN
El objetivo del siguiente manual es una descripción de la configuración necesaria en los equipos Mobility Controller de Aruba, para la integración con Octopus Platform
1- Requerimientos previos
Si en la instalación existe un firewall que bloquee el tráfico se deberá permitir el acceso libre a ciertos dominios e IPs para habilitar la autenticación de los usuarios.
Servidores Radius:
Primario: <IP_Radius_1> puertos 1812 y 1813 UDP
Secundario: <IP_Radius_2> puertos 1812 y 1813 UDP
Servidor Splash Portal:
Dominio <dominio_captive_portal> puertos 80 y 443 TCP
Para el funcionamiento de la configuración de los módulos Guest y Enterprise, previamente será necesario contratar las licencias de la plataforma Octopus con los respectivos módulos.
2- Configuración módulo Guest
2.1 Configuración WLAN - Wizard
Existe la posibilidad de que ya esté creada la WLAN invitados donde se quiera aplicar el portal cautivo o por el contrario que haya que crearla desde cero, que es lo que se explica a continuación para integrarse con el portal y el servidor Radius.
El primer paso será crear una nueva red WLAN dentro de Configuration > Wizards > Campus WLAN.
Se desplegará un asistente de configuración que se irá describiendo a continuación:
En primer lugar se debe crear el nuevo AP Group que contendrá los APs de la instalación con el nombre que se desee. También existe la posibilidad de editar un AP Group / WLAN ya creados simplemente habrá que seleccionarlos y seguir el asistente.
Crear la WLAN que emitirán los APs añadiendo el nombre del SSID como se muestra en la siguiente imagen:
Seleccionar modo Tunnel como Forwarding mode, o el modo de configuración que se crea conveniente en la red.
Especificar la VLAN asociada a la Wireless LAN, que dependerá de la configuración de red del cliente.
Seleccionar modo Guest como escenario de uso.
Seleccionar la opción Captive portal with authentication via credentials (username and password) provided by user para crear un Captive Portal Profile que se configurará una vez terminado el Wizard.
En la siguiente opción no se debe realizar ninguna configuración ya que no se utilizará el portal cautivo que viene por defecto en el controlador.
A continuación, añadir dos nuevos Servidores de Autenticación, para ello hacer click en el botón Add y rellenar cada uno de los parámetros con la siguiente información:
Servidor 1:
Name: RADIUS1
IP address: <IP_Radius_1>
Auth. port: 1812
Acct. port: 1813
Shared key: <Secret>
Retype key: <Secret>
Servidor 2:
Name: RADIUS2
IP address: <IP_Radius_2>
Auth. port: 1812
Acct. port: 1813
Shared key: <Secret>
Retype key: <Secret>
Seleccionar el role que se asigna a los usuarios que se conecten a la nueva red inalámbrica que está siendo configurada.
Pre-authentication role: seleccionar el role XX-guest-logon, siendo XX el nombre de la WLAN creada.
Authenticated role: seleccionar el role guest para los usuarios una vez que se autentican en la red.
Finalmente, revisar toda la configuración y hacer click en finish.
2.2 Walled Garden
En este punto se describe la configuración para añadir los dominios externos a los que se debe permitir acceso libre sin necesidad de validarse en el portal cautivo.
Para ello ir a Advanced Services > Stateful Firewall > Destinations:
Dentro de esta pestaña de configuración añadir un nuevo grupo y dentro de dicho grupo añadir todos los dominios a los que el cliente pueda tener acceso antes de autenticarse, añadiendo para ello una nueva regla por cada dominio.
Si se desean añadir dominios extra (Redes Sociales, Paypal, etc...) pueden consultarse desde el siguiente enlace.
2.3 Captive Portal
Para realizar toda la configuración referente al Captive Portal externo acceder al profile de autenticación previamente creado en wizard. Para ello ir a Security > Authentication > L3 Authentication.
Dentro de esta pestaña seleccionar el Captive Portal Authentication creado con el wizard cuyo nombre será XX-cp_prof siendo XX el nombre del SSID configurado anteriormente
Dentro de la configuración del Captive Portal Authentication se deben configurar los siguientes parámetros:
Default Role: guest
Default Guest Role: guest
Authentication protocol: PAP
Login page: http://<dominio_captive_portal>/login/hotspot/aruba
Welcome page: desactivar esta opción para que no se muestre la página de bienvenida de Aruba.
Add switch IP address in the redirection URL: se debe activar este campo para enviar la IP del controlador dentro de la url.
Adding user vlan in redirection URL: Se debe seleccionar este campo.
White List: Seleccionar el walled garden creado en el apartado 2.
Redirect URL: dejar en blanco para poder controlar la redirección desde la plataforma WIFI.
2.4 Radius Server
En cuanto a la configuración del Servidor Radius hay que modificar los atributos que se envían al servidor. Para ello ir a Security > Authentication > Servers y dentro de RADIUS Server seleccionar los dos servidores Radius añadidos durante el wizard inicial para poder modificarlos.
Los parámetros a configurar son:
Servidor Radius 1:
Called-Station-ID
csid_type: ap-name
Include_ssid: disable
csid_delimiter: colon
Servidor Radius 2:
Called-Station-ID
csid_type: ap-name
Include_ssid: disable
csid_delimiter: colon
2.5 AAA Profile
El siguiente paso en la configuración del OmniAccess Controller es actualizar los parámetros del AAA profile creado a través del wizard.
Para ello ir a Security > Authentication > AAA Profiles y seleccionar el perfil creado. A continuación configurar este profile con los siguientes parámetros.
RADIUS Interim Accounting: activar esta opción.
Por último, dentro de la configuración del AAA profile añadir también el servidor Radius para el Accounting.
Para ello en el profile creado acceder a RADIUS Accounting Server Group y seleccionar dentro del desplegable el grupo de servidores que incluye el Radius añadido en el wizard. XXX_srvgrp-xxx
Tras realizar los cambios hacer click en Apply y en Save Configuration para guardar la configuración realizada
2.6 Configuración Wireless - AP Installation
Para cargar la configuración en los APs que queremos que radien la WLAN creada. Para ello ir a Configuration > Wireless > AP Installation y seleccionar los APs que se desea incluir en el AP group creado.
Para cargar la configuración en los APs hacer click en Apply and reboot.
2.7 Otras configuraciones
Validación en modo seguro
Para que todo el proceso se validación se realice de forma segura, la idea es cargar un certificado en el controlador y de esta manera que no nos salten errores de certificado.
Para ello en la configuración dirigirse a Management > Certificates, pestaña Upload y rellenar los valores:
Certificate Name: <certificate name>
Certificate Filename: Seleccionar el archivo .PEM que facilitaremos.
Passphrase y Retype Passphrase: Dejarlo en blanco.
Certificate Format: PEM
Certificate Type: Server Cert
Una vez rellenado todos los campos pulsar el botón Upload y verificar que aparece correctamente en la lista:
Una vez salvados los cambios dirigirse a Management > General y en WebUI Management Authentication Method y Captive Portal Certificate, seleccionar el certificado creado:
Aplicar cambios y guardar configuración.
Comprobar en CLI que se ha creado correctamente la entrada fqdn.
Habrá que tener en cuenta que si en algún caso se accedía a la configuración del controlador a través del DNS securelogin.arubanetworks.com, ahora habrá que realizarlo a través de la dirección IP o nuevo subdominio asociado al certificado: securelogin.xxxxxx.xxx
2.8 Listado MACs Autorizadas
Para que la validación de los usuarios funcione correctamente es necesario identificar los NAS que podrán realizar peticiones de autenticación al Servidor Radius. En este caso se debe añadir el nombre de cada uno de los APs. Como nombre se debe dejar la MAC del AP y no cambiarla, ya que el servidor radius solo interpreta un formato MAC.
Esta dirección MAC es fácilmente accesible dentro de Monitoring > Al Access Points
Para obtener información sobre cómo añadir la dirección MAC de cada AP como un NAS autorizado en la plataforma consulte el siguiente enlace localizaciones
3- Configuración módulo Enterprise
Para poder integrar las configuraciones de este módulo con la plataforma, es necesario contratar el Módulo Enterprise de Octopus Wifi
3.1 Configuración Captive portal + MAC Authentication
Para poder habilitar la autenticación por MAC será necesario crear un nuevo L2 Authentication Profile.
Para ello ir a Security > Authentication > L2 Authentication: Dentro de los sub-menús seleccionar MAC Authentication y añadir un nuevo MAC Authentication profile.
Una vez creado el profile se debe configurar únicamente el parámetro Delimiter como dash, el resto de parámetros se deben dejar configurados tal y como vienen por defecto
Posteriormente en Security > Authentication > AAA Profiles, seleccionar el perfil creado para WiFi invitados.
Para habilitar MAC Authentication se deberá realizar el mismo proceso con el servidor Radius que se utilizará para autenticar a los usuarios por su MAC.
Para ello dentro del profile seleccionar MAC Authentication Server Group y seleccionar dentro del desplegable el grupo de servidores que incluye el Radius añadido en el wizard
Seleccionar el MAC Authentication profile creado anteriormente.
Para ello hacer click en MAC Authentication dentro del AAA Profile creado y dentro del desplegable seleccionar el profile creado con anterioridad y aplicar los cambios.
3.2 Configuración MAC Authentication
Para crear un SSID dedicado únicamente al MAC Authentication diríjase al apartado Configuration > Wizards > Campus WLAN y crear un nuevo AP Group
Y configurarla con la configuración especificada en el apartado 2.1.
Para poder habilitar la autenticación por MAC será necesario crear un nuevo L2 Authentication Profile. Para ello ir a Security > Authentication > L2 Authentication:
Dentro de los sub-menús seleccionar MAC Authentication y añadir un nuevo MAC Authentication profile.
Una vez creado el profile se debe configurar únicamente el parámetro Delimiter como dash, el resto de parámetros se deben dejar configurados tal y como vienen por defecto
Posteriormente en Security > Authentication > AAA Profiles, seleccionar el perfil creado para WiFi invitados.
Para habilitar MAC Authentication se deberá realizar el mismo proceso con el servidor Radius que se utilizará para autenticar a los usuarios por su MAC. Para ello dentro del profile seleccionar MAC Authentication Server Group y seleccionar dentro del desplegable el grupo de servidores que incluye el Radius creado en el apartado 2.1 (radius) añadido en el wizard.
Seleccionar el MAC Authentication profile creado anteriormente.
Para ello hacer click en MAC Authentication dentro del AAA Profile creado y dentro del desplegable seleccionar el profile creado con anterioridad y aplicar los cambios.
3.3 Configuración MPSK
Antes de nada configuración la funcionalidad MAC Authentication del apartado 3.1
Primero acceda al apartado Devices > Access points > Wireless Management > Wireless SSIDs y seleccione la configuración del SSID que desea configurar.
En el apartado Security, configurar:
Security level: Personal
Key management: MPSK AES
Primary Server: Seleccionar el radius server creado en el apartado 2.1
Configuración plataforma Octopus > Access Profile
Atributos radius a configurar:
Aruba-MPSK-Passphrase := (proxy-reply:Tunnel-Password)
3.4 Configuración Access Profiles
A través de la plataforma Octopus es posible configurar una serie de atributos reply de los paquetes Access-Accept, agrupados en los llamados Access Profile. Estos Access Profile, permite activar una serie de funcionalidades en el Aruba Controller. Aunque están disponibles los dictionarys radius más comunes y propietarios de Aruba, a continuación se lista algunos considerados como más interesantes:
Atributo | Descripción | Formato |
|---|---|---|
Idle-timeout | Tiempo máximo de inactividad. Si el usuario no transfiere ningún dato en la red durante este tiempo, la sesión terminará y tendrá que volver a autenticarse. | Segundos |
Aruba-User-Vlan | Asignación de una VLAN previamente creada en el Aruba Controller |
|
Aruba-User-Role | Asignación de un Role previamente creado en el Aruba Controller |
|
Reply-Message | Útil para funciones de troubleshooting, ya que permite identificar elementos asociados de la plataforma Octopus Wifi, como un access profile, método de acceso , localización, … |
|
Ejemplo de configuración de un Access Profile con los atributos anteriormente explicados: