Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

RADIUS プロキシ サーバーを構成する方法

この章では、Juniper Mist™ Edge アプライアンスでのリモート認証ダイヤルインユーザーサービス(RADIUS)プロキシサーバーの設定について説明します。

RADIUS プロキシの概要

Juniper Mist™ネットワークでは、アクセスポイント(AP)をリモート認証ダイヤルインユーザーサービス(RADIUS)アクセスリクエストメッセージの送信元として使用できます。RADIUSプロキシ機能では、代わりにJuniper Mist EdgeアプライアンスをRADIUSアクセスリクエストメッセージの送信元として使用できます。

次のような大規模な導入シナリオでは、すべての AP を個別のクライアントとして RADIUS サーバーに追加することは不可能です。

  • 多数のJuniper Mist APのインストール

  • 802.1x認証を使用したサービスセット識別子(SSID)

RADIUS プロキシを設定すると、AP を個別のクライアントとして追加する代わりに、1 つの IP(RADIUS プロキシ)のみを使用できます。

RADIUS プロキシは、ワイヤレス AP RADIUS クライアントに対するサーバーとして、RADIUS サーバーに対するクライアントとして機能します。

RADIUS プロキシ サーバーを構成する

Juniper Mistネットワークで使用するRADIUSプロキシサーバーを設定する前に、以下を行う必要があります。

  • Mist Edgeをクレームし、OOBM IPとトンネルIPを設定します。

  • Mistトンネルを設定し、Mist Edgeクラスターでマッピングします。

  • RADIUS 認証と Mist トンネルへの転送を使用して WLAN を構成します。

RADIUSプロキシ機能を使用すると、APを送信元として使用する代わりに、Juniper Mist EdgeアプライアンスをRADIUSアクセス要求メッセージの送信元として使用できます。つまり、個々のAPをクライアントとして追加するのではなく、Juniper Mist Edge OOBM IPを許可するようにRADIUSサーバーを設定する必要があります。または、送信元としてトンネル IP を有効にする場合は、トンネル IP を許可するように RADIUS サーバーを設定する必要があります。これらの構成オプションは、大規模な導入において、複数の個別のAPをRADIUSサーバーに追加することをバイパスできることを意味します。

組織レベルでの RADIUS サーバーの設定

デフォルトでは、Juniper Mist Edgeアプライアンスは組織レベルのオブジェクトです。すべてのサイトからのJuniper Mistアクセスポイント(AP)は、このオブジェクトとトンネルを形成できます。

ネットワーク階層の組織レベルで RADIUS サーバーを設定するには:

  1. Juniper Mistポータルで、[Mist Edge] > [Mist Edge Clusters]に移動し、クラスタを選択します。
  2. [Radiusプロキシ]ウィンドウで、Enabledオプションボタンをクリックします。
  3. [Radius認証サーバー]の横をクリックしますAdd server
  4. HostnameShared Secretを入力します。
  5. 青いチェックマークをクリックして設定を保存します。

    Radius認証サーバーとアカウンティングサーバーは、順序付きリストにあります。つまり、最初のサーバーに到達できない場合、RADIUS プロキシはリスト内で次に使用可能なサーバーに要求を転送します。

  6. (オプション)チェックボックスをオンにしてEnable Key Wrap、キーラップを有効にします。リストから RADIUS 認証サーバを選択し、 と Message Authenticator Code Keyを入力しますKey Encryption Key。このアクションにより、キー タイプ (ASCII または 16 進数を選択) とキー値の追加フィールドが有効になります。
  7. RADIUSアカウンティングサーバーのステップ2からステップ6を繰り返します。
  8. (オプション)Tunnel IP as Source RADIUS パケット(およびアカウンティング)を送信元としてトンネル IP として発信する場合は、このチェックボックスをオンにします。
    メモ:

    この場合 、認証、許可、アカウンティング(AAA) サーバー上のネットワークアクセスサーバー(NAS)クライアントは、Juniper Mist EdgeのトンネルIPになります。それ以外の場合は、アウトオブバンド管理(OOBM)IPになります。
  9. Saveボタンをクリックして、RADIUSプロキシ設定をJuniper Mist Edgeクラスタに保存します。
    必要に応じて、API を使用して RADIUS サーバーを構成できます。API ペイロードを次に示します。

組織レベルでのRADIUSサーバーのWLANアフィニティの設定

ワイヤレス LAN (WLAN) では、サービス セット識別子 (SSID) 名に基づいて、展開内で異なる RADIUS サーバーを使用します。たとえば、展開では 、eduroam という名前の SSID にはパブリック RADIUS サーバーを使用し、すべての企業 SSID には異なる RADIUS サーバーを使用する場合があります。Juniper Mist Edgeは、RADIUSプロキシサービスでこの柔軟性を可能にします。このサービスを設定して、一意の SSID を持つ特定のネットワーク アクセス コントロール(NAC)サーバー ベースのクライアントに RADIUS アクセス(またはアカウンティング)要求を転送できます。

RADIUS サーバーの WLAN アフィニティを構成するには、次の手順を実行します。

  1. Juniper Mistポータルで、Mist Edgesに移動します。
  2. Mist Edge クラスタペインで、既存のクラスタを選択するか、クラスタを作成します。
  3. 「組織レベルで RADIUS サーバーを構成する」というタイトルの手順に従って、RADIUS プロキシ サーバーを構成します。
  4. RADIUS プロキシ ウィンドウで、SSID の一致 チェックボックスを選択します。RADIUS 認証サーバーおよび RADIUS アカウンティング サーバーごとに新しい SSID ドロップダウン メニューが表示されます。
  5. SSID の下にある 追加(+)をクリックして、この RADIUS サーバーの SSID を 1 つ以上選択します。
    メモ:

    ドロップダウン メニューには、802.1x または MAB 認証の SSID のみが表示されます。管理者が異なるRADIUSサーバーを使用する場合は、サイト間で一意のSSID名を設定することをお勧めします。
  6. 青いチェックマークをクリックして、サーバー設定を保存します。
  7. (オプション)リスト内の追加のRADIUS認証サーバーに対して、ステップ5とステップ6を繰り返すことができます。
  8. ステップ 5 からステップ 7 を繰り返して、RADIUS アカウンティング サーバの WLAN アフィニティを設定できます。
  9. [保存] をクリックして、クラスターの RADIUS プロキシ設定を保存します。
    必要に応じて、API を使用して RADIUS サーバーの WLAN アフィニティを設定できます。

    構成を含む API と BLOB の例を次に示します。この設定により、Juniper Mist EdgeがRADIUS関連の設定情報を受信し、RADIUSプロキシサービスを開始できるようになります。

サイト レベルでの RADIUS プロキシ サーバーの構成

サイト レベルで RADIUS プロキシ サーバーを構成する前に、Mist トンネルを構成する必要があります。トンネルを設定していない場合は、設定タスクを進める前にここで設定してください。 サイトレベルでのMist Edgeの導入 を参照してください。

従来のアーキテクチャや、Juniper Mist Edgeをホストするのに十分な大きさのサイトから移行するには、分散型の導入が必要です。このような場合、Juniper Mist Edge アプライアンスをサイトに割り当て、そのサイトのアクセスポイント(AP)に対してトンネリングとRADIUSプロキシサービスを設定できます。

サイト レベルで RADIUS プロキシ サーバーを構成するには:
  1. Juniper Mistポータルで、[組織]>[サイト設定]に移動し、サイトを選択します。
    サイトのサイト設定ウィンドウが表示されます。
  2. [Radiusプロキシ]ウィンドウで、EnableボタンをクリックしてRADIUSプロキシサーバーを有効にします。
  3. [サーバーの追加] をクリックします。
  4. Port、および Shared Secretの値Hostnameを入力して、サーバーの詳細を構成します。
  5. (オプション)チェックボックスをオンにしてEnable Key Wrap、キーラップを有効にします。リストから RADIUS 認証サーバを選択し、 Key Encryption KeyMessage Authenticator Code Keyを入力します。これにより、キータイプ(ASCIIまたは16進を選択)とキー値の追加フィールドが有効になります。
  6. [オプション] Tunnel IP as Source RADIUS パケット (およびアカウンティング) を送信元としてトンネル IP から発信する場合は、このチェックボックスをオンにします。
  7. 青いチェックマークをクリックして設定を保存します。
  8. RADIUSアカウンティングサーバーのステップ2からステップ7を繰り返します。
    必要に応じて、API を使用してサイト レベルで RADIUS サーバーを構成できます。API ペイロードを次に示します。

サイト上の RADIUS サーバーの WLAN アフィニティを構成する

ワイヤレス LAN (WLAN) では、サービス セット識別子 (SSID) 名に基づいて、展開内で異なる RADIUS サーバーを使用します。たとえば、導入環境では、 eduroam SSID という名前の SSID にはパブリック RADIUS サーバーを使用し、すべての企業 SSID には異なる RADIUS サーバーを使用する場合があります。Juniper Mist Edgeは、RADIUSプロキシサービスでこの柔軟性を可能にします。このサービスを設定して、一意の SSID を持つ特定のネットワーク アクセス コントロール(NAC)サーバー ベースのクライアントに RADIUS アクセス(またはアカウンティング)要求を転送できます。

さらに、サイトレベルでJuniper Mist Edgeアプライアンスを使用する場合は、そのアプライアンス専用のRADIUSサーバーを構成できます。

サイト エッジで RADIUS サーバーの WLAN アフィニティを構成するには、次の手順を実行します。

  1. Juniper Mistポータルで、[組織]>サイト設定)に移動します。
  2. [サイト] ページで、一覧からサイトを選択します。
  3. WLANでJuniper Mist EdgeプロキシのRadiusプロキシを有効にします。
    手順を完了するには、 ネットワーク階層の組織レベルで RADIUS サーバーを構成するのステップ 3 を参照してください。
  4. 設定を完了するには、トンネリングされたWLANで802.1x/MAB認証を有効にし、WLAN設定内でMistエッジプロキシをRadSecサーバーとして選択します。