Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

導入事例:eduroam向けMist Edgeプロキシ

概要 このeduroamユースケースでは、Mist EdgeをIdPプロキシとして使用する方法を説明します。

概要

このユースケースでは、Mist EdgeをRADIUSプロキシとして動作させることで、Juniper Mist Access Assuranceをeduroam NRO(National Roaming Operators)と統合する方法を示します。Mist Edgeは、eduroam管理ポータルでRADIUSクライアントとして登録できるように、静的パブリックIPまたはNAT IPが割り当てられたeduroam RADIUSサーバーへのゲートウェイとして機能します。

Mist Edgeプロキシは、特にeduroam SPおよびIdP認証フローで使用されます。ホームユーザーの認証には影響しません。

次のコールフローは、eduroamネットワークの3種類のユーザーと、それぞれのタイプがMist Access AssuranceおよびMist Edgeプロキシを介して認証する方法を示しています:キャンパス内のホームユーザー、キャンパス上の外部訪問者(SP)、およびホームローミングユーザー(IdP)。

ホーム ユーザー

ホームユーザとは、各自の大学キャンパスにあるeduroam SSIDに接続しているクライアントのことです。たとえば、 @university1.edu アカウントを持つユーザーが現在大学 1 に在籍しているとします。このユーザーは「ホーム」レルムにいます。これは、この大学で毎日行われているほとんどの認証の典型的なシナリオです。

このシナリオでは、Mist Edgeプロキシは必要ありません。ユーザーはMist Access Assuranceで直接認証します。

Call Flow for Home Users

外部からの訪問者

外部訪問者とは、他の教育機関から大学のキャンパスを訪問するクライアントです。たとえば、 @university2.edu アカウントを持つユーザーが現在 Univeristy 1 にアクセスしているとします。このユーザーは、「ホーム」レルムではないレルムによって識別されます。

このシナリオではMist EdgeプロキシIDPがeduroam RADIUSサーバー経由で university2.edu に認証リクエストを転送する必要があります。外部からの訪問者はMist Edgeプロキシを介して認証され、Mist Edgeプロキシはeduroamの国内RADIUSサーバーに向けて認証リクエストされます。

Call Flows for External Visitor

ホーム ローミング ユーザー

ホームローミングユーザーとは、別の教育機関を訪問しているクライアントで、所属大学の認証情報を使用して eduroam SSID への認証を希望するクライアントです。

この例では、 @university1.edu アカウントを持つユーザーが大学 2 にアクセスしています。認証リクエストは、university2.edu からeduroamのRADIUSサーバーを経由して university1.edu に向かっています。RADIUSアクセス-eduroam国内のRADIUSサーバーからのリクエストは、Mist Edgeプロキシによって受信された後、認証のためにMist Access Assuranceサービスに転送されます。

Call Flows for Roaming Home Users

ファイアウォールの要件

Mist Edge uses Out Of Band Management interface (OOBM) for all its proxy functionalities. It is possible to either assign a public IP address to the OOBM interface or place it behind NAT firewall.

The following ports and destinations must be allowed:

  • Inbound (towards Mist Edge OOBM interface)

    • RADIUS Auth & Acct (1812 / 1813 UDP) – you could limit source IPs to eduroam national RADIUS servers

    • RadSec (2083 TCP) – you could limit source IPs based on the following document.

  • Outbound (from Mist Edge OOBM interface):

    • RADIUS Auth & Acct (1812 / 1813 UDP)

    • RadSec (2083 TCP) towards radsec.nac.mist.com

    • HTTPS (443 TCP) towards ep-terminator.<mist_cloud_env>.mist.com (more on correct endpoint for your cloud environment in this document).

Note:
  • Mist Access Assurance only supports EAP-TLS, TEAP or EAP-TTLS methods for home users and home roaming users.
  • For external visitors any EAP method is supported, including PEAP-MSCHAPv2. EAP method support is determined by an external institution RADIUS servers.
  • Dedicated Mist Edge(s) are a must for the IDP proxy functionality.
  • For proxy service redundancy multiple Mist Edges can be used as part of the same Mist Edge cluster.

Juniper Mistを設定する

Juniper Mist ポータルで次の手順を実行します。
  1. [Mist Edge ( Edges)] ページで、Mist Edgeを要求または登録し、Mist Edge クラスタを作成します。
    これらのタスクは、Juniper Mist ポータルの左側のメニューから [ Edge Mist ( Edges )] を選択して実行できます。次に、ボタンを使用して[ Claim Mist Edge]、[ Create Mist Edge]、および [Create Cluster]の順にクリックします。
  2. [ID プロバイダー] ページで、Mist Edge プロキシ ID プロバイダーを追加します。
    詳細については、「 Juniper Mist Access AssuranceのIDプロバイダの追加」を参照してください。
  3. [Auth Policies] ページで、eduroam SSID のルールを設定します。

    次の例は、基本的なシナリオを示しています。ホームユーザーと外部ユーザーの両方がeduroamネットワークを利用しています。外部ユーザーはゲストVLANに、ホームおよびホームローミングユーザーはプライマリ大学VLANに配置されます。

    Sample Auth Policy

eduroamを設定する

Eduroam 管理コンソールで、Mist Edge を追加します。eduroam NROによっては、管理コンソールの外観が異なる場合がありますが、全体的な統合ポイントは同じままです。

eduroamホットスポットRADIUSサーバー

Eduroam Admin Console: Hotspot RADIUS Servers Page

eduroam IdP レルム

Eduroam Admin Console: IdP Realms Page

検証

設定を確認するには、[Client Insights] ページまたは [Auth Policies] ページの [NAC Events] でイベントを確認します。

手記:

認証は外部 RADIUS サーバ(eduroam)によって処理されるため、外部ユーザの場合のみ、NAC Client Access Allowed または Denied イベントは他の NAC イベントなしで生成されます。

 Client Events Page Showing NAC Client Access Events

参照