SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

【第2回】Aruba ClearPass(統合認証基盤) ESXi への展開と冗長構成

ネットワーク
2022.09.21

皆さん、こんにちは。

SB C&Sでネットワーク/セキュリティ関連のプリセールスを担当している 大東です。

Aruba Wi-Fi製品による基本的な初期設定に関する記事を3回程度に分けてお送りします。

Aruba ClearPass

Aruba ClearPassは、有線LANやWi-Fi環境、VPN環境などにおいてユーザーや端末を識別してアクセス制御を行うネットワーク環境における統合認証基盤です。

FreeWi-Fi接続時のユーザー認証、クライアント証明書の配布、802.1x認証、MACアドレス認証に加え、接続されるデバイスのチェックや接続時間帯による制御なども可能です。

ネットワーク機器などは、認証先を「ClearPass」に向ける設定をするだけで、あとはClearPassが接続の妥当性をチェックして通信許可/拒否を判別します。

製品は、ハードウエアアプライアンス版とバーチャルアプライアンス版があり、バーチャルアプライアンス版は「VMware ESXi」「Microsoft Hyper-V」「CentOS KVM」の3つのイメージが提供されています。

また、Amazon AWSやMicrosoft Azureなどへの展開も可能です。

ライセンスとしては、下記3つの組み合わせになります。

Accessライセンス:認証など基本となるライセンス。最低100ライセンス~

(同時接続最大数を目安で購入必要)

Onboardライセンス:証明書の発行やプロビジョニング機能を利用する際に必要。最低100ライセンス~

(ライセンス発行したユーザー単位で消費)

OnGuardライセンス:デバイス検疫機能を利用する際に必要。最低100ライセンス~

(検疫を行うデバイス単位で消費)

clearpass01.jpg

Aruba ClearPass 導入

今回は、ClearPassの初期導入から冗長設定について、実際の設定手順を記載しながら解説していきます。

前回の2台のAruba アクセスポイント構成はそのままで、データセンターにActiveDirectoryとClearPass(Active/Standby構成)があるという構成で説明していきます。

topology.png

Aruba ClearPass インストール

1.ESXiへの展開

今回は、ESXi上にバーチャルアプライアンスとしてインストールを進めていきます。

ClearPassのOVFをDLすると、下記のようにZIPファイルで提供されます。

ovf.jpg

これを展開すると、下記のファイル群が表示されます。

ovf.jpg

今回、利用するファイルは「CPPM-VM-x86_64-6.10.0.180076-ARUBA-ESX.ovf」と「CPPM-VM-x86_64-6.10.0.180076-ARUBA-ESX-disk1.vmdk」です。

ESXiにて、OVFテンプレートのデプロイから実施していきます。

ローカルファイルからのアップロードで先ほどの2つのファイルを選択して進めていきます。

vm3.jpg

マシン名や展開先などを選択して、進めていきます。

vm4.jpg

ネットワークについては、各ネットワーク機器などから疎通が取れるネットワークを指定します。

vm5.jpg

問題なければ、「完了」をクリックすると、デプロイが開始されます。(弊社の環境では、約5分程度で完了しました)

展開後、すぐにマシンをONにするのではなく、仮想マシンのプロパティから利用する環境に合わせてセッティングを行う必要があります。

環境要件については以下を参考としてください。(Aruba ドキュメントより引用)

詳しくはコチラ

CLABV(検証用) C1000V(500ユーザー程度まで) C2000V(5000ユーザー程度まで) C3000V(25,000ユーザー程度)
CPU 2vCPU 8vCPU 8vCPU 24vCPU
メモリ 6GB 8GB 16GB 64GB

HDD(シックプロビジョニング)

160GB 1TB 1TB 1.8TB

今回は、「CLABV(検証用)」として進めていきます。

対象の仮想マシンの「設定」からCPU/メモリを変更し、新規でハードディスクを追加します。

vm6.jpg

設定が終わりましたら、「OK」で保存して「パワーオン」します。

パワーオン後、コンソールから起動画面を確認します。

インストールするタイプを選択します。(今回は、CLABVを選択)

vm6.jpg

要求されるシステム要件と、現在のシステム設定が表示されます。

問題なければ、「y」を推して進めます。

vm6.jpg

データを暗号化するかの確認がありますが、必要に応じて設定してください。

お使いの仮想環境がすでに暗号化環境であるならば、「N」でよいが、そうでなければ「Y」を推奨とのNote記載があります。

vm6.jpg

この後、Diskのイニシャライズがはじまり、インストール処理、再起動などが始まります。(弊社の環境では、約5分程度で完了しました)

vm6.jpg

この画面が表示されたら、下記のアカウントで初期ログインを行います。

ユーザー名:appadmin

パスワード:eTIPS123

ログイン後、ホストネームやIPアドレス、DNS設定、時刻設定などについて、ウィザードに従って入力していきます。

デフォルトでは、Managementポートが、「管理」「認証」などすべての通信を請け負います。

明示的に、管理用と認証用のポートを分けたい場合は、「Managementポート」と「Dataポート」でそれぞれ異なるIPアドレスを設定してください。

※今回、Ipv6は使用しないため、SLAACの設定もOFFにしています。

vm6.jpg

入力後、設定した内容が反映され、下記の画面が表示されれば完了となります。

vm6.jpg

この後は、ウェブサイト画面にて操作をしていきます。

2.ライセンスの適用

設定したIPアドレスでHTTPSにてアクセスを行います。

画面が表示されたら、「ClearPass Policy Manager」をクリックします。

vm6.jpg

ライセンスキー入力画面になりますので、ClearPass Platformライセンスキーを入力します。

※ライセンスキーは最低限、「プラットフォームライセンスキー」と「アクセスライセンスキー」の2つがありますので間違えないようにしてください。

vm6.jpg

ライセンス追加後、ログイン画面が表示されますので、ウィザードで設定した新しいパスワードでログインします。

ユーザー名:admin

パスワード:ウィザード時に設定したもの

※ClearPassの機器本体やSSHでアクセスする場合のユーザー名は「appadmin」であり、ウェブサイト画面のユーザー名は「admin」のため、注意してください。

パスワードはどちらも、設定したものとなります。

vm6.jpg

デバイスライセンスを適用した後に、「今すぐアクティブ化」をクリックして、ClearPassをアクティブ化します。

次に、アクセスライセンスの追加を行います。

左メニューから「管理」>「ライセンス」をクリックして、右上の「ライセンスを追加」をクリックします。

vm6.jpg

「アクセスライセンスキー」を入力し、ライセンスを適用します。

vm6.jpg

画面を更新して、ライセンスが適用されていることを確認します。

※今回は、Onboardライセンスも一緒に適用しています。

vm6.jpg

ここまでで、基本的な初期設定は完了となります。

Aruba ClearPass 冗長(クラスタ)構成

冗長構成にするため、上記と同じ手順でもう一台のClearPassを展開・インストールします。

ライセンス適用までが終わった単体のClearPassが2台ある状態として、冗長構成作業を進めていきます。以下、メイン機を「パブリッシャー」、サブ機を「サブスクライバー」と呼びます。

事前準備として、パブリッシャー側のサーバ証明書をエクスポートして、もう片方の機器にインポートします。

※ClearPass6.8からのクラスタ構成では、パブリッシャーのHTTPSサーバ証明書を機器同士でチェックする仕様に変更になったため、両方に同じ証明書を入れておく必要があります。

1.パブリッシャー側で証明書エクスポート

パブリッシャー側のアドレスバーをクリックし、証明書を表示して、「詳細」からサーバ証明書をエクスポートします。

証明書のみでよいため、ブラウザーのアドレスバーからのエクスポートを行います。

vm6.jpg

2.サブスクライバー側で証明書インポート

サブスクライバー側の「管理」>「証明書」>「信頼リスト」を選択し、右上の「追加」をクリックします。

表示された画面から、先ほどエクスポートした証明書を選択し、「使用」の項目は「その他」選択して、証明書を追加します。

vm6.jpg

※同様に、サブスクライバー側のサーバ証明書もエクスポートして、パブリッシャー側にインポートしておくことを推奨します。これは、将来的にどのClearPassがパブリッシャーになっても正常に稼働させるための対応です。

なお、本来であれば公的な証明書を推奨します。

ClearPass側でCSR作成や証明書インポートができますので、必要に応じて対応をお願いします。

vm6.jpg

3.サブスクライバー側機器を設定

サブスクライバー側の機器にて、「管理」>「サーバ構成」>「サブスクライバーの作成」をクリックします。

vm6.jpg

表示された画面にて、パブリッシャー側のIPアドレスとパスワードを入力して「Proceed」をクリックすると、クラスタ構成のセットアップが始まります。

vm6.jpg

下記の内容が表示され、正常に完了すると、「Close」がクリックできるようになります。

vm6.jpg

4.パブリッシャー側で構成を確認

パブリッシャー側機器にて、「管理」>「サーバ構成」をクリックして、両方の機器が表示されていることを確認します。

vm6.jpg

5.パブリッシャー側でクラスタ構成の詳細設定

サーバ構成の画面の右上にある「クラスター全体のパラメーター」をクリックします。

vm6.jpg

クラスター全体のパラメータにて、下記を設定します。

[スタンバイパブリッシャー]タブ

パブリッシャーフェールオーバーの有効化:TRUE

指定スタンバイパブリッシャー:サブスクライバー機器を選択

vm6.jpg

サーバ構成に戻り、「仮想IP設定」をクリック

vm6.jpg

仮想IP(クラスター共通IP)を設定し、それぞれのノードやインタフェースを選択します。

vm6.jpg

これ以降は、仮想IPで設定したIPアドレスでHTTPSアクセスが可能となり、Radiusクライアントからの要求などは、このIPアドレスで受け付けることが可能となります。

vm6.jpg

また、サブスクライバー側の機器にアクセスすると、制限アクセスとなっていることが分かります。

vm6.jpg

まとめ

いかがでしたでしょうか。

Arubaの認証統合基盤であるClearPassのインストールと冗長構成の設定方法について、理解できたかと思います。

ClearPassはAruba以外の製品ともユーザー認証連携などもできますし、Onboardライセンスにより認証局や証明書発行としての役割も果たしますので、企業ポリシーに応じて柔軟に対応ができる製品です。

次回は、第1回で構築したIAPのWi-Fi機器とClearPassを組み合わせたユーザー認証などについて記載していきたいと思います。

SB C&Sでは、案件のプリセールスや案件同行、ハンズオンセミナーなど様々な対応を行っておりますので、お気軽にお問い合わせください。

https://www.it-ex.com/distribution/securitynetworksolution/arubabiz/2017/09/clearpass.html

著者紹介

SB C&S株式会社
ICT事業本部 ICT事業戦略・技術本部 技術統括部 第3技術部 2課
大東 智裕 - Tomohiro Daito -

SIer、エンドユーザー情シス/マーケなどを経て、2022年より現職。
九州・中国地区でネットワーク/セキュリティを中心としたプリセールスエンジニアを担当。