Aruba Clearpass und Multi Forest Umgebung

[daabm 1.185]

Hallo zusammen. Hat eigentlich nichts mit Windows direkt zu tun, aber hier paßt es am besten rein...

 

Ein Kunde setzt Aruba Clearpass als VPN-Lösung ein. User sind in Domäne A, Computer in Domäne B. Technischer Bind-User für Aruba ist auch in Domäne A. Die Domänen sind NICHT im gleichen Forest, aber es gibt einen Bidi-Trust. Die Clearpass-Appliance ist NICHT Mitglied einer dieser Domänen.

 

Wie muß Clearpass konfiguriert werden, damit der Bind-User aus Domäne A in Domäne B authentifiziert werden kann?

(Authentifizierung in Domäne A funktioniert problemlos.)

 

Die Doku (https://www.arubanetworks.com/techdocs/ClearPass/6.7/Aruba_DeployGd_HTML/Default.htm#Active Directory/AD_auth_source_adding.htm%3FTocPath%3DPreparing%20ClearPass%20for%20Active%20Directory%20Authentication|_____2) hab ich gelesen, aber da finde ich keine Erhellung. Und der Multi-Domain Support von Clearpass scheint sich auf einen Forest zu beschränken, in dem dann nicht AD (389/636) gefragt wird, sondern GC (3268/3269).

 

Bin für jeden Tip dankbar - der Kunde auch

 

Gruß Martin

[cj_berlin 1.137]

Moin,

 

viel von ClearPass gehört, nie live gesehen, aber nach dem Überfliegen des Artikels (auf dem Phone) mal ganz b***d gefragt: kann man nicht zwei AD-basierte Authentication Sources hinzufügen?

[daabm 1.185]

Ja, kann man. Problem sind nicht die 2 Domänen, sondern daß es nur einen Bind-User in Domäne A geben soll, nicht in Domäne B. Bei den AD-Sources kann man aber nirgends angeben, wo sich der Bind-User befindet. Ok, in seinem DN steht es drin, aber wir vermuten, daß Clearpass den DN intern mit dem Hostnamen (=Zieldomäne) ergänzt, so daß LDAP://<DomäneB>:636/<BindDNausDomäneA> daraus wird.

Innerhalb eines Forest und mit 3269 statt 636 würde das ja funktionieren, aber wir haben halt 2 Forests - der DN von Domäne A ist in Domäne B natürlich ungültig.

[cj_berlin 1.137]

Habe ich jetzt nicht verstanden, aber Du wirst es schon ordentlich recherchiert haben.

 

Was ist mit dem Referrals-Parameter? Habt ihr das versucht zu aktivieren und brachte das irgendeine Änderung? Das sollte eigentlich genau dafür da sein...

[XP-Fan 215]

The Bind DN user, such as Administrator, is the username associated with the Bind DN user account.

For a single domain Active Directory Domain Service, the Bind DN entry must be located in the same branch and below the Base DN.

For a multi-domain Active Directory Domain Service (AD DS) forest, because you leave the Base DN text box empty, the restrictions that apply for a single domain do not apply for a multi-domain forest.

ClearPass fills in the domain portion of the Bind DN. 

 

Bin mir nicht sicher ob das dir weiterhilft aber einen Versuch wäre es wert.

 

Quelle Punkt 4:

Adding Active Directory as an Authentication Source to ClearPass

[NorbertFe 1.805]

vor 3 Stunden schrieb XP-Fan:

For a multi-domain Active Directory Domain Service (AD DS) forest,

Darum geht’s ja nicht, sondern um zwei trusted forests (so hab ich’s zumindest verstanden)

[daabm 1.185]

Genau. Multi Domain kein Problem, wenn es ein Forest (mit GC ! ) ist. Haben wir aber nicht, wir haben 2 Forests. Und weil das als Virtual Appliance daherkommt, gibt es auch keinen Root-Zugriff und man kommt an die Eingeweide nicht ran.