Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

アクセスと認証の検証

このトピックでは、ポータルでユーザー アクセスと認証を検証する方法について説明しますJuniper Mist。

接続されているクライアントデバイスの確認

  1. Juniper Mistポータルで、[Wi-Fi クライアント>クライアント] または [有線クライアント>クライアント] を選択して、クライアント ページを開きます。

    このページには、サイトに接続されているすべてのクライアントが一覧表示されます。名前、IPv4アドレス、MACアドレス、タイプなどの詳細が表示されます。 また、Client Insights へのリンクも確認できます。このリンクをクリックすると、[ Monitor > Insights] ページ に移動し、詳細情報が表示されます。

  2. 分析情報ダッシュボードに直接移動し、Juniper Mist ポータルの左側のメニューから [> サービス レベルの監視] を選択します。次に、[監視] ページの上部にある [分析情報] ボタンをクリックします。
    図 1: [View Mist Insights] ページ View Mist Insights Page
  3. [クライアントイベント]ブロックでは、選択した期間に選択したサイトのMist PACEによって記録されたすべてのイベントのリストを表示できます。
    図 2: クライアント イベントの表示 View Client Events

    これらのイベントは、携帯電話やノート PC などのワイヤレス クライアントにのみ適用されます。リストからイベントを選択すると、Mist リストの右側にイベントの概要が表示されます。証明書の詳細、認証タイプ、VLAN、認証ルール、ID プロバイダー (IdP) などの詳細を確認できます。

  4. [Auth Rule] をクリックして、[Auth Policies] ページでルールを開きます。

    ポータルでは、クライアントデバイスに適用されたポリシーが強調表示されます。一致条件、ポリシー ルール、ポリシー アクションなどの詳細を表示できます。

アクセスと認証の構成の検証については、次のビデオをご覧ください。

Clients are actually happy and connected and authorized and can actually pass traffic. So let's take a look at one of the clients here that I have as an example. So let's take a look at client insights. What we already see is the client is able to get network connectivity, grab an IP address. It can resolve DNS. We have this information as the client goes through that whole connection process from the network infrastructure, in this particular case from the access point.

But now, we are extending this visibility into the whole NAC authentication and authorization phases. So we know that, OK, client trusted the server cert. Then, actually, we see that it's using certific ate to authenticate. So our service, we're getting all the metadata about the client certificate. We then do an IDP lookup against Okta in our particular scenario. And we know, OK, so this user is actually part of these three groups in the Okta user directory. Great. What's next?

We are actually evaluating whether we should allow or deny this particular client, and what policy we want to assign. So we are saying, oh, client access is allowed, great. We are signing a VLAN. We're signing a role or a user group, employee. But we are also saying, oh, hey, this is the authentication rule that we've hit during the authorization process. So let's take a look. Let's click on it. Oh, voila. So we now can tell you exactly which policy rule triggered during that particular user authentication. So we are seeing not only the authentication experience. We are also seeing the whole end to end connection experience, all the way from the neck, all the way to the client actually being able to pass traffic left and right.

障害が発生したクライアントデバイスの確認

  1. ポータルJuniper Mist、Juniper Mist ポータルの左側のメニューから [> サービス レベルの監視] を選択します。次に、[監視] ページの上部にある [分析情報] ボタンをクリックします。
    図 3: [View Mist Insights] ページ View Mist Insights Page
  2. [クライアントイベント]ブロックでは、選択した期間に選択したサイトのMist PACEによって記録されたすべてのイベントのリストを表示できます。
    図 4: クライアント イベントの表示 View Client Events

    リストからイベントを選択すると、Mist リストの右側にイベントの概要が表示されます。概要を上下にスクロールして、すべての詳細を取得できます。アクセスに失敗した場合は、[ 説明 ]フィールドをチェックして、失敗の理由を理解できます。

アクセスと認証の構成の検証については、次のビデオをご覧ください。

Normally, if we would only have the visibility from the network point of view, we would just say, OK, this client failed authorization. It's a .1X failure. But since we don't control the other side of the authentication process, we don't really know what's happening here.

But now, since we've extended this NAC authentication authorization visibility into the Mist cloud, we now can say exactly what happened. So if you look just at the event below, we are saying, oh, actually, the reason for the failure is because the client does not trust the server certificate, right?

So we are now - we now can tell exactly what is the authentication issue that the client has experienced. And this is caused by the client configuration issue that you need to look at. And again, we are providing all the details in here.

So now, we can pinpoint and answer the question, whether it's client config problem, whether it's a network issue and client cannot get network services, or it's an authentication policy issue and we've just configured our policies incorrectly.

Marvis Actionsによる認証の問題の特定

Marvis Actionsは、組織内のユーザーエクスペリエンスに影響を与える、サイト全体で進行中のネットワークの問題を可視化するワンストップ情報センターです。

組織にあるサブスクリプションのタイプによって、Marvis Actionsの使用状況が決まります。詳細については 、Marvis Actions for Wired, WAN, and Wireless Assurance をご覧ください。

  1. Juniper Mistポータルで、Juniper Mist ポータルの左側のメニューから [Marvis™] を選択します。

    [Persistently Failure Clients] アクションは、クライアント固有の問題が原因で接続に継続的に失敗する有線クライアントまたは無線クライアントを強調表示します。つまり、障害の範囲はアクセスポイント(AP)、スイッチ、無線LAN(WLAN)、またはサーバーではありません。この障害は、間違った事前共有鍵(PSK)の入力による認証の失敗、または不正な 802.1x 設定による失敗が原因である可能性があります。障害が発生しているクライアントと、接続を試みているWLANのリストがMarvisに表示されます。

    詳細を表示 」をクリックして、障害が発生しているクライアントの詳細を取得します。この情報を使用して、接続している特定のスイッチ、ポート、VLANをピンポイントで特定することで、接続の問題が発生しているユーザーの場所を特定できます。

    手記:手記:

    この問題を修正すると、Persistently Failing Clients アクションは 1 時間以内に自動的に解決されます。このアクションは優先度が低いと見なされるため、Marvisは[Latest Updates]セクションまたは[Sites]タブに[Persistently Failing Clients]アクションをリストしません。
  2. [Marvis]ページでは、さまざまなカテゴリに分類された情報が表示されます。Marvisは、カテゴリーで検出された問題の数を示します。たとえば、次のスクリーンショットでは、Marvisが接続カテゴリに15の問題をリストしていることがわかります。
    図5:Marvis ActionsページConnectivity Failures in Marvis Actions Pageの接続障害

    詳細を表示 」をクリックして、障害が発生しているクライアントの詳細を取得します。問題の概要、原因、および詳細を示す [認証失敗の詳細(Authentication Failure Details)] ページ。このスクリーンショットは、Marvis Actionsが802.1x認証エラーを報告する方法の例を示しています。

    問題が認証または承認に関連していない場合は、上のレイヤーを見て、実際にネットワーク サービス関連の問題があるかどうかを調査します。たとえば、ゲートウェイが応答していないか、IPアドレスが不足している可能性があります。

アクセスと認証の設定を検証するMarvisのアクションについては、次のビデオをご覧ください。

Maybe I don't even want to be reactive. Is there something that can tell me when there is an issue? Is there something that can look at my entire network and figure out if there is an issue that is widespread, maybe it's affecting a specific site, a specific group of access points or switches or anything like that? Well, yes, sure there is. That's why we have Marvis Actions.

In Marvis Actions, we can start slow and we could say, okay, maybe you have some offenders on the network that are consistently trying to connect and they're failing. So let's take a look at them. Let's see what we have there.

Oh, okay. So we have two clients that are failing .1x authentication persistently, consistently, right? And we are saying, okay, let's take a look and maybe at least we can pinpoint where those users are. Well, they are connected to this specific switch and this specific port and this VLAN.

Maybe you want to check and see what's plugged into there that is never able to connect for a long period of time. That's fine. Now, if we look at things at scale, if we look at things holistically, let's say at the whole organization, we can then pinpoint, oh, maybe you have authentication failures that are affecting a specific SSID or specific groups of APs or clients that are more widespread.

This is where we are actually learning what's going on on your network, what's normal, what's not. And whenever there is an anomaly, we would highlight this in the connectivity action in Marvis Action tab. Similarly, if it's not related to authentication or authorization, we can look the layer above and maybe there is an actual network service related issue, maybe your gateway is not responding, maybe you're run out of IP addresses.

The point is all of this information is looked at holistically, right? All the way starting from the NAC authentication authorization now, all the way to client being able to pass traffic and get network services up and running.

参照