ジュニパー Mist™ と Aruba ClearPass Guest を統合してアクセスコントロールを強化

この手順に従って、ジュニパー Mist™ を Aruba ClearPass Guest™ と統合して、安全なユーザー認証を実現します。

ジュニパー Mist™は、Aruba ClearPass Guestなどのネットワークアクセス管理プラットフォームとシームレスに統合でき、ネットワーク上のゲストユーザー向けに幅広いアクセス制御カスタマイズオプションを活用できます。

Standards-Based Integration with Aruba ClearPass

注:

Aruba製品の詳細については、「 ClearPass Guestについて」など、Arubaサポートサイトのリソースを参照してください。

ジュニパーMist™とAruba ClearPass Guestを統合するには、次の手順に従います。

Aruba ClearPass Policy Managerの管理コンソールに移動し、Mistアクセスポイント(AP)の認証変更(CoA)プロファイルを作成します。

注:

ヘルプについては、Arubaサポートサイトの「適用プロファイルの設定」を参照してください。

[Cisco – Reauthenticate-Session]プロファイルを見つけて選択し、コピーします。
そのプロファイルの新しいコピーを編集します。名前を[Mist - Reauthenticate-Session]に変更します。

Mist CoAプロファイルに以下の属性を設定します。

表1:表1:
タイプ	名前	値
半径:IETF	CallingStation-ID	%{Radius:IETF:Calling-Station:Id}
半径:シスコ	Cisco-AVPair	加入者:コマンド=再認証
半径:IETF	NAS-IPアドレス	%{radius:IETF:NAS-IPアドレス}
半径:IETF	イベントタイムスタンプ	%{Authorization:[タイムソース]:現在}

デフォルトの自己登録Webページテンプレートを複製して、ClearPass Guest Managerでゲスト登録ページを作成します。ヘルプが必要な場合は、Aruba サポートサイトの「自己登録カスタマイズフォームへのアクセス」などのリソースにアクセスしてください。
1. 自己登録インスタンスの場合は、自己登録を有効にするを選択し、変更を保存します。
2. スポンサー付きゲストワークフローを有効にするため、スポンサー確認を有効にします。
3. ログインの遅延を設定すると、ClearPassがCoAをMist APに送り返し、新しく登録されたゲストクライアントを再承認する時間が与えられます。ログインの遅延を10秒に設定します(これより低い時間を設定すると、ClearPassとの動作が一貫しなくなる可能性があります)。次に、変更を保存します。ヘルプが必要な場合は、Arubaサポートサイトの「自己登録ページの編集」などのリソースにアクセスしてください。
4. NASベンダー設定を次のように設定します。
  - 有効—ネットワークアクセスサーバーへのゲストログインを有効にします
  - デフォルトのURL— http://www.mist.com を入力します。
  - 宛先の上書き— すべてのクライアントにデフォルトの宛先を強制するを選択します。
  ヘルプが必要な場合は、「 NASログインプロパティの編集と有効化」など、Arubaサポートサイトのリソースにアクセスしてください。
MACキャッシュを使用してゲストアクセス設定を作成し、タブを移動して次のように設定を構成します。
- 名前プレフィックス—Mist
- 無線 SSID - ゲストアクセス
- コントローラIPアドレス—Mist APの管理IPサブネットを追加して、RADIUSを介してClearPassと通信できるようにします。
- 必要に応じて、ゲストのタイプごとにデフォルトの有効期限を設定します。
- フィルターIDベースの適用を選択し、ゲストロール名を指定します。
Arubaサポートサイトの「 MACキャッシュサービステンプレートを使用したゲスト認証」などのリソースを参照してください。
サービスの追加を選択すると、新しいサービスが追加されたことがわかります。
既存の適用プロファイルとポリシーを編集して、Mist APを統合します。ヘルプが必要な場合は、既存の適用プロファイルの変更など、Arubaサポートサイトのリソースにアクセスしてください。
1. デフォルトのMistキャプティブポータルプロファイルを編集し、属性タブから次の手順に従います。
  - 既存のFilter-id属性を削除します。
  - 新しいurl-redirect属性を追加して、クライアントのリダイレクト先をAPに知らせます。値を設定する際は、次の構文に従います。
  - 変更を保存します。
  また、Mistゲストデバイスプロファイルを編集し、ウィザード中に事前に作成された最後の属性を削除します。
2. Mistゲストデバイスプロファイルを編集し、自動的に作成された最後の属性を削除します。
3. 適用ポリシーに移動し、Mist MAC認証適用ポリシーを編集して、不明または未登録のクライアントのリダイレクトURLを送信します。
  - 適用タブで、デフォルトプロファイルとしてMistキャプティブポータルプロファイルを選択します。
  - 変更を保存します。
ClearPassがホストするキャプティブポータルを介してゲストユーザー認証を処理するための新しい適用ポリシーを作成します。ヘルプについては、Arubaサポートサイトの「適用ポリシーの設定」などのリソースを参照してください。
1. 適用タイプをWEBAUTHに設定します。
2. デフォルトプロファイルを[RADIUS_CoA] [Mist – セッションの再認証]として設定します。
3. 次へをクリックし、ユーザーがゲストとして認証されるとクライアントMACをキャッシュするルールを作成します。ゲストマネージャー設定で指定された期間を選択します。
4. 変更を保存します。
新しいWebAuthサービスを作成します。ヘルプが必要な場合は、「サービスの追加」など、Arubaサポートサイトのリソースにアクセスしてください。
1. サービスタブで、以下を設定します。
  - タイプ— Web認証を選択します。
  - その他のオプション— 認証を選択します。
  - 名前に「Mist」を含むゲストページに一致する条件をもう1つ追加します。
  - 次へをクリックします。
2. 認証タブで、次の操作を行います。
  - 認証元として[ゲストユーザーリポジトリ]を選択します。
  - 次へをクリックします。
3. 認証タブで、以下の操作を行います。
  - 追加の認証ソースとして[エンドポイントリポジトリ]と[タイムソース]を追加します。
  - 次へをクリックします。
4. ロールタブで、次の操作を行います。
  - ロールマッピングポリシー「MACキャッシュロールマッピングを使用したMistユーザー認証」を選択します。
  - 次へをクリックします。
5. 適用タブで、次の操作を行います。
  - 前の手順で作成した適用ポリシーを選択します。
  - 「保存」をクリックします。
ジュニパー Mistポータルで、WLANに移動するか、新しいポータルを作成します。

注:
ヘルプについては、「 WLANテンプレートの設定」または「 WLANの追加」を参照してください。
ClearPlass で設定したものと同じ SSID を入力します。
[ セキュリティ] セクションで、次の操作を行います。
- [オープンアクセス]を選択します。
注: オープンアクセスオプションが表示されない場合は、6GHzとWi-Fi 7のセキュリティを無効にします。
- RADIUSルックアップによるMACアドレス認証を選択します。
- Mac認証バイパスを使用したゲストアクセスを選択します。
- 許可されたホスト名フィールドに、ゲストユーザーがリダイレクトされるClearPassサーバーのFQDNを入力します。また、ユーザーが認証される前に許可する必要がある追加のFQDNを追加します。
CoA/DMサーバーセクションで、有効を選択し、サーバーの追加をクリックし、ClearPassサーバーのIPアドレス、ポート、共有シークレットを入力し、チェックマークをクリックして変更を保存します。
WLAN設定を保存します。

注:
WLANがWLANテンプレート内にある場合は、テンプレートが目的のサイトに適用されていることを確認してください。
Aruba ClearPass Policy Manager のアクセストラッカーを確認して、統合が成功したことを確認します。ヘルプが必要な場合は、Arubaサポートサイトの「ライブ監視:アクセストラッカー」などのリソースにアクセスしてください。

ジュニパー Mist™ と Aruba ClearPass Guest を統合してアクセス コントロールを強化

ジュニパー Mist™ と Aruba ClearPass Guest を統合してアクセスコントロールを強化