Role Based Access Control mit Aruba WLAN

Role Based Access Control (RBAC) ist tief in Aruba WLAN integriert. Es ist nicht möglich, ein Aruba WLAN ohne RBAC zu nutzen. Jede SSID hat eine default Rolle, die ein Benutzer zugewiesen bekommt, sobald er sich verbindet.

Rollen im Aruba WLAN

Eine Rolle im Aruba WLAN kann mehrere Eigenschaften enthalten. Dazu gehören:

  • Firewall Regeln
  • VLAN Zuweisung
  • Bandbreitenbeschränkungen
  • Einstellungen zu Captive Portals

Durch die in einem Aruba WLAN Controller integrierte Firewall können hiermit unterschiedliche Beschränkungen für Benutzer im gleichen WLAN durchgesetzt werden. Das ist möglich, da die Firewall in den Traffic eingreift, bevor er die WLAN Infrastruktur verlässt. Die Filterung findet damit direkt am Netzzugangspunkt statt.

Konfiguration von Rollen im Aruba Controller

Rollen werden auf dem Aruba Controller unter Configuration -> Roles & Policies -> Roles angelegt.

Mit einem Klick auf das blaue “Plus” kann eine neue Rolle hinzugefügt werden. Dabei sollte ein “sprechender” Name gewählt werden:

Danach kann die neuangelegte Rolle aus der Liste der Rollen ausgewählt werden, um sich weitere Details anzeigen zu lassen. Dabei ist es wichtig, den sogenannten Advanced View zu nutzen.

Nur so werden alle Details zu den Rollen angezeigt.

Hier können dann zum Beispiel Firewall Regeln oder Bandbreitenlimitierungen konfiguriert werden. Damit können Zugangsbeschränkungen für die WLAN Benutzer granular definiert werden. Eine Unterscheidung von Usern im selben VLAN ist ebenfalls möglich.

Zuweisen von Rollen

Rollen können auf verschiedene Weise zugewiesen werden. Zunächst besteht die Möglichkeit, die Rollen von einem RADIUS Server mittels eines RADIUS Attributes zuzuweisen. Das ist insbesondere in Verbindung mit Aruba ClearPass verbreitet.

Eine weitere Möglichkeit ist die Verwendung von Server Rules. Diese werden häufig in Verbindung mit LDAP Servern genutzt und können anhand verschiedener Rückgabewerte des LDAP Servers Rollen zuweisen. So kann zum Beispiel das Attribut memberOf genutzt werden um Rollen zuzuweisen.