Beiträge

ClearPass, Active Directory und DNS

Es gibt heutzutage praktisch kein Unternehmen, das ohne ein Active Directory auskommt. Dort sind Anmeldeinformationen von Benutzern genauso gespeichert wie Sicherheitsrichtlinien für Computer. Wenn es darum geht, Netzwerkzugänge mit ClearPass abzusichern, erspart es den Administratoren viel Arbeit die Informationen aus dem Active Directory für ClearPass zu nutzen. Dieser Artikel zeigt die verschiedenen Einsatzzwecke und eventuelle Stolperfallen.

ClearPass und Active Directory

Ein Active Directory enthält neben Anmeldeinformationen auch Informationen über Gruppenzugehörigkeit oder Organisationseinheit des Benutzers. Diese Informationen können vom ClearPass genutzt werden um eine Anmeldung zu akzeptieren oder abzulehnen. Der Zugriff auf diese Informationen erfolgt per Lightweight Directory Access Protocol (LDAP, RFC4511).

Um diese Informationen mit ClearPass nutzen zu können, wird das Active Directory als Authentifizierungsquelle zum ClearPass hinzugefügt:

ClearPass benötigt einen Benutzer und ein Passwort, damit er sich am LDAP Anmelden kann. Wichtig ist darauf zu achten, dass das Passwort nicht abläuft. Danach kann ClearPass alle Informationen zu einem Benutzer aus dem AD lesen. Wenn AD over SSL verwendet wird und das Serverzertifikat überprüft werden soll, muss das Zertifikat der CA im ClearPass bekannt sein.

ClearPass Domain Join

ClearPass kann zwar jetzt Informationen wie zum Beispiel die Gruppenmitgliedschaft aus dem LDAP lesen, aber noch keine MSCHAPv2 (Microsoft Challenge-Handshake Authentication Protocol Version 2, RFC2759) Hash überprüfen. Diese wird aber für eine Netzwerkanmeldung mit EAP-PEAP und MSCHAPv2 benötigt. Die Kommunikation zwischen ClearPass und Active Directory für eine Überprüfung von MSCHAPv2 Hashes erfolgt mit NTLM (NT LAN Manager). Dazu braucht ClearPass ein Computer Konto im AD, muss also zur Domäne hinzugefügt werden.

Dazu benötigt man den FQDN eines Domain Controllers. Den NetBIOS Name erkennt ClearPass automatisch. Außerdem braucht man einen Domänen Account mit Domänenadministrator Rechten. Er wird nur genutzt um ClearPass hinzuzufügen und wird nicht gespeichert.

ClearPass und MSCHAPv2

Die Überprüfung des MSCHAPv2 Hashes erfolgt nicht gegen die Server die als Authentifizierungsquelle angegeben wurden. ClearPass fragt bei jeder Anmeldung per DNS, welche Domain Controller erreichbar sind. Das bedeutet, das Informationen für ClearPass lesbar im DNS vorhanden sein müssen.

Das kann schwierig sein, wenn ClearPass zu mehreren Domains hinzugefügt werden soll, da die DNS Server, die ClearPass anfragt die Informationen für beide Domains bereitstellen muss.

Können die Informationen nicht per DNS bereitgestellt werden, dann kann man für jede Domain die AD Server fest angeben:

Dann muss ClearPass nicht per DNS erfragen, welche Server er nutzen kann.

ClearPass und DNS

Wie im vorherigen Absatz beschrieben, verlässt sich ClearPass auf Informationen aus dem DNS. Um die DNS Server zu entlasten, ist es Best Practice DNS Caching zu aktivieren. Dann merkt sich ClearPass die Informationen und muss nicht immer die DNS Server fragen.

Damit wird die Last auf den DNS Servern deutlich gesenkt und ClearPass arbeitet ein wenig schneller.