ClearPass
ClearPass นั้นเป็นส่วนของหนึ่งของอุปกรณ์ยี่ห้อ Aruba ซึ่งเป็นระบบการบริหารจัดการการควบคุมการเข้าถึงการใช้งานบนเครือข่ายทั้งในส่วนของ Wire, Wireless และ VPN เพราะในปัจจุบันนี้ทุกคนก็จะมีอุปกรณ์เครื่องมือสื่อสารส่วนตัวใช้งานและมีการนำอุปกรณ์ส่วนตัวเหล่านั้นเข้ามาใช้งานในองค์กรด้วย ซึ่งเราจะเรียกอุปกรณ์ประเภทนี้ว่า Bring Your Own Devices (BYOD) และเมื่อผู้ใช้งานนำอุปกรณ์ BYOD นี้เข้ามาใช้งานกับระบบในองค์กรเราจะทำอย่างไรเพื่อที่จะสามารถกำหนด ควบคุม และ ติดตามดูอุปกรณ์ได้ โดยมีการสร้างนโยบายเพื่อรักษาความปลอดภัยเมื่อมีการเข้าถึงระบบเครือข่ายได้ในระดับอุปกรณ์และผู้ใช้งาน สำหรับ ClearPass Policy Manager นั้นมีส่วนประกอบอยู่ 3 ส่วนคือ
-
ClearPass Guest ใช้สำหรับบริหารจัดการการเข้าถึงระบบเครือข่ายของผู้ใช้งานชั่วคราว (Guest Access)
-
ClearPass Onboard ใช้สำหรับตั้งค่าและกำหนดค่าเริ่มต้นของอุปกรณ์พกพาให้สามารถเชื่อมต่อกับระบบเครือข่ายขององค์กรได้อย่างมั่นคงปลอดภัย
-
ClearPass OnGuard ใช้สำหรับตรวจสอบอุปกรณ์เพื่อให้ผ่านข้อกำหนดขององค์กรก่อนทำการเชื่อมต่อเข้าสู่ระบบ
โดยในที่นี้เราจะมาพูดถึงกันแค่ในส่วนของ ClearPass Guest เท่านั้นเพื่อให้เชื่อมโยงกับเรื่องของการทำ Authentication
ClearPass Guest เป็นการบริหารจัดการผู้ใช้งานชั่วคราว (Guest, Visitor) ที่ให้บริการ Workflow สำหรับให้ผู้ใช้ เช่น แขก ผู้รับเหมา คู่ค้า คนเดินห้าง หรือผู้ที่ต้องการเชื่อมต่อ Wi-Fi ผ่านอุปกรณ์พกพา สามารถเข้าถึงระบบเครือข่ายได้โดยอัตโนมัติ ซึ่งระบบนี้จะให้บริการในระบบ AAA (Authentication, Authorization, Accounting) สามารถจัดทำ Profile,Report และ ควบคุมการสิทธิ์การเข้าถึงระบบเครือข่ายได้ โดยรองรับการ Authentication ของผู้ใช้งานชั่วคราวได้ด้วยวิธี
- Captive Portal เป็นการให้ผู้ใช้งานชั่วคราวสามารถที่จะลงทะเบียนขอใช้งานระบบเครือข่ายได้ด้วยตนเอง (Self-Registration) ซึ่งทำให้ลดความยุ่งยากในการขอเข้าใช้งานระบบ โดยผู้ขอใช้งานสามารถกรอกข้อมูลเบื้องต้นแล้วกดส่ง Register เพื่อเป็นการส่ง email ไปยังผู้ดูแลระบบ และเมื่อผู้ดูแลระบบเห็นข้อมูลที่ร้องขอการเข้าใช้งานก็สามารถที่จะเลือกอนุญาตหรือไม่อนุญาตให้บุคคลนั้นเข้าใช้งานระบบเครือข่ายหรือไม่
- Social Login ผู้ใช้งานชั่วคราวสามารถที่จะเลือกใช้ Facebook, Twitter หรือ G-mail ในการพิสูจน์ตัวตนเพื่อขอใช้งานระบบเครือข่ายได้ ในส่วนนี้ก็เหมาะกับร้านค้าหรืองานอีเวนท์ที่มีคนเข้ามาขอใช้งานในปริมาณมาก
ทดสอบการ Authentication เพื่อเข้าสู่ระบบเครือข่าย
- แบบที่ 1 สำหรับคนในองค์กร
ผู้ดูแลระบบสามารถสร้าง Portal สำหรับการ Login ขึ้นมาและปรับแต่งให้เข้ากับองค์กรได้ โดยที่พนักงานในองค์กรสามารถที่จะกรอก Username และ Password ที่ตัวเองมีลงไประบบจะทำการไปเช็กกับฐานข้อมูลที่มีเช่น LDAP หรือ Radius ถ้าตรงกับฐานข้อมูลที่มีก็สามารถที่จะใช้งานระบบเครือข่ายได้ แต่ในกรณีที่ผู้ใช้งานเข้ามาในระบบผ่านอุปกรณ์สื่อสารเช่น โทรศัพท์ก็จะต้องมีขั้นตอนในการลง certificate ของเครื่องเพื่อให้สามารถเข้าใช้งานได้
ในขั้นตอนที่ 1 ผู้ใช้งานมีการ Login เพื่อขอเข้าใช้งานระบบเครือข่ายโดยการกรอก Username และ Password
ในขั้นตอนที่ 2 ผู้ใช้งานต้องมีการติดตั้ง Software Clearpass QuickConnect ก่อนการเข้าใช้งานระบบเครือข่ายซึ่งในขั้นตอนนี้สามารถเลือกเมนูเพื่อไปดาวน์โหลดโปรแกรมหรือถ้ามีโปรแกรมแล้วก็สามารถเลือกได้ว่าติดตั้งเรียบร้อยแล้ว
- Software Clearpass QuickConnect นั้นคือ Utility ที่มาช่วยให้ผู้ใช้ระบุตัวตนภายใต้มาตรฐาน 802.1x ได้อย่างรวดเร็วจากหน้าจอของอุปกรณ์ที่ตนเองกำลังใช้งานอยู่ ซึ่งรองรับทั้งการเชื่อมต่อแบบใช้สายและไร้สายไม่ว่าจะเป็นอุปกรณ์ที่ใช้ระบบปฏิบัติการ Windows, Mac OS X, iOS, Android และ Linux ซึ่งเมื่อทำการ Login เรียบร้อยแล้วนั้นอุปกรณ์ก็จะได้รับสิทธิ์ในการเข้าใช้งานตามนโยบายขององค์กร
ในขั้นตอนที่ 3 ผู้ใช้งานทำการดาวน์โหลดและติดตั้งให้เรียบร้อยก็จะสามารถเข้าใช้งานระบบเครือข่ายได้ตามสิทธิ์ที่องค์กรกำหนดไว้
- แบบที่ 2 สำหรับผู้ใช้ชั่วคราว (Guest)
ผู้ดูแลระบบสามารถสร้างหน้า Login ขึ้นมาเพื่อที่จะให้ Guest กรอกข้อมูลเพื่อร้องขอเข้าใช้งานระบบเครือข่าย โดยในส่วนของข้อมูลที่จะกรอกลงไปนั้นผู้ดูแลระบบสามารถที่จะ Customize ได้ตามต้องการเช่น ชื่อ-นามสกุล, มาจากหน่วยงานไหน, ชื่อและแผนกของผู้ที่ต้องการติดต่อ เป็นต้น
จากภาพ Guest ต้องทำการกรอกข้อมูลของตัวเองเพื่อร้องขอใช้งานระบบเครือข่าย ซึ่งหลังจากมีการกรอกข้อมูลและทำการ Register เข้าไปข้อมูลที่กรอกลงไปนั้นจะไปขึ้นที่ระบบของผู้ดูแล
ผู้ดูแลระบบสามารถที่จะเห็นข้อมูลของ Guest ที่ร้องขอเข้ามาและทำการ approve ให้ Guest สามารถเข้าใช้งานระบบเครือข่ายได้
Social Login
ในการใช้ Social Login เข้ามาช่วยในเรื่องของการร้องขอเพื่อเข้าใช้ระบบเครือข่ายนั้นก็เป็นอีกวิธีการที่ไม่ซับซ้อนและง่ายต่อการจัดการ Guest สามารถเลือกใช้ Facebook account หรือ Google account ในการ Login เข้าสู่ระบบได้ โดยที่ระบบของเรานั้นจะ trust กับ Facebook และ Google อยู่แล้ว เมื่อ Guest เลือก account ที่ต้องการได้แล้ว ในขั้นตอนต่อไปก็ต้องทำการ Authen กับระบบนั้น ๆ ให้ผ่าน ซึ่งถ้าเราเป็นเจ้าของ Account นั้นจริง ๆ เราก็จะสามารถ Authen ผ่านระบบเข้ามาได้และผลการ Authen นั้นก็จะส่งมาที่ระบบของ ClearPass ซึ่งก็ทำให้ระบบยินยอมที่จะให้ Guest นั้นเข้าใช้งานระบบเครือข่ายได้ และผู้ดูแลระบบเองก็สามารถจำกัดสิทธิ์การใช้งานให้กับ Guest ได้ด้วยพร้อมทั้งสามารถที่จะ track ดูการใช้งานของ Guest ได้
วิธีการตั้งค่าเพื่อให้ระบบสามารถใช้ Facebook Authentication ได้
Login เข้าสู่ Facebook developer ที่ https://developers.facebook.com/ และทำการสร้าง Application ขึ้นมาเลือก Advance Setup
ทำการตั้งชื่อ Application และเลือกหมวด Apps for pages และทำการสร้าง App ID
หลังจากนั้นจะได้รับแจ้งส่งการตรวจสอบความปลอดภัยผ่านทาง Captcha หลังจากนั้นก็จะ Redirected หน้าไปที่ Application Dashboard แล้วเลือกหัวข้อ Settings
ทำการใส่ App Domains และ Contact Email หลังจากนั้นเลือกเมนู Add Platform แล้วเลือก Platform Website
ใส่ข้อมูล “Site URL” และ “Mobile Site URL” ซึ่ง URL จะต้องตรงกับการเข้าสู่ระบบของ Captive Portal ที่กำหนดค่าใน Aruba Mobility Controller (% login_url%) โดยต้องใช้ชื่อโดเมนและไม่ใช่ IP Address ในการกำหนดค่า URL ในขั้นตอนนี้นั้นการตั้งค่า DNS Server ต้อง map กับ Fully Qualified Domain Name (FQDN) และเลือก Save Changes
ASE Captive Portal Configuration
Copy และ Past “App ID” และ “App Secret” ลงในช่อง “Facebook Client ID” และ Facebook Client Secret ใน ASE
หลังจากขั้นตอนการตั้งค่าให้สามารถใช้งานกับ Social Login แล้ว Guest ก็สามารถที่จะ Login เข้าระบบผ่าน Facebook ได้
Guest สามารถที่จะเลือกได้ว่าต้องการ Login ด้วย Facebook หรือ Google หรือ Linkedin
อย่างเช่นเลือก Gmail Guest จะต้องกรอกข้อมูล email และ password ของ Gmail เพื่อทำการ Authentication
ข้อมูลที่ Guest กรอกเข้าไปจะไปปรากฏที่หน้า Management ของผู้ดูแลระบบ ซึ่งจะสามารถมองเห็นว่า Guest เข้ามาด้วย email อะไร และได้ IP address อะไรไป
ถ้าเลือกเป็นใช้ Facebook ก็จะเปลี่ยนหน้า Login ให้เหมือนกับตอนที่เราจะเข้าใช้งาน Facebook และ Guest ต้องทำการกรอก password ให้เหมือนกับตอนจะเข้าใช้งาน Facebook