Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Caso de uso: Proxy do Mist Edge para Eduroam

RESUMO Este caso de uso de eduroam ilustra como usar o Mist Edge como um proxy IdP.

Visão geral

Este caso de uso mostra como você pode integrar o Juniper Mist Access Assurance com eduroam NROs (Operadores nacionais de roaming) usando o Mist Edge atuando como um proxy RADIUS. O Mist Edge atua como um gateway para servidores eduroam RADIUS com um IP público estático ou IP NAT atribuído de forma que ele possa ser registrado como um cliente RADIUS no portal de administração eduroam.

O Proxy do Mist Edge é usado em especial com fluxos de autenticação de eduroam SP e IdP; não afeta a autenticação dos usuários domésticos.

Os fluxos de chamadas a seguir ilustram três tipos de usuários em redes eduroam e como cada tipo autentica via Mist Access Assurance e proxy Mist Edge: usuários domésticos no campus, visitantes externos no campus (SP) e usuários de roaming doméstico (IdP).

Usuários domésticos

Os usuários domésticos são clientes que estão se conectando ao eduroam SSID em seu próprio campus universitário. Por exemplo, um usuário com uma conta @university1.edu está atualmente na Universidade 1. Este usuário está em seu reino "casa". Este é o cenário típico para a maioria das autenticações que acontecem diariamente nesta universidade.

Esse cenário não requer proxy do Mist Edge. O usuário autentica diretamente com o Mist Access Assurance.

Call Flow for Home Users

Visitantes externos

Visitantes externos são clientes que estão visitando um campus universitário de outra instituição. Por exemplo, um usuário com uma conta @university2.edu está visitando a Univeristy 1 no momento. Este usuário é identificado por um reino que não é o reino "casa".

Esse cenário exige que o Mist Edge Proxy IDP encaminhe solicitações de autenticação para university2.edu por meio de servidores eduroam RADIUS. Visitantes externos autenticam por meio de um proxy Mist Edge, onde o Mist Edge faz as solicitações de autenticação dos servidores RADIUS nacionais da eduroam.

Call Flows for External Visitor

Usuários de roaming doméstico

Os usuários de roaming doméstico são clientes que estão visitando uma instituição diferente e gostariam de autenticar um SSID eduroam usando suas credenciais de universidade de casa.

Neste exemplo, um usuário com uma conta @university1.edu está visitando a Universidade 2. As solicitações de autenticação vêm de university2.edu por meio de servidores eduroam RADIUS em direção a university1.edu. As solicitações de acesso RADIUS dos servidores RADIUS nacionais da eduroam são recebidas pelo Proxy do Mist Edge e depois encaminhadas ao serviço Mist Access Assurance para autenticação.

Call Flows for Roaming Home Users

Requisitos de firewall

Mist Edge uses Out Of Band Management interface (OOBM) for all its proxy functionalities. It is possible to either assign a public IP address to the OOBM interface or place it behind NAT firewall.

The following ports and destinations must be allowed:

  • Inbound (towards Mist Edge OOBM interface)

    • RADIUS Auth & Acct (1812 / 1813 UDP) – you could limit source IPs to eduroam national RADIUS servers

    • RadSec (2083 TCP) – you could limit source IPs based on the following document.

  • Outbound (from Mist Edge OOBM interface):

    • RADIUS Auth & Acct (1812 / 1813 UDP)

    • RadSec (2083 TCP) towards radsec.nac.mist.com

    • HTTPS (443 TCP) towards ep-terminator.<mist_cloud_env>.mist.com (more on correct endpoint for your cloud environment in this document).

Note:
  • Mist Access Assurance only supports EAP-TLS, TEAP or EAP-TTLS methods for home users and home roaming users.
  • For external visitors any EAP method is supported, including PEAP-MSCHAPv2. EAP method support is determined by an external institution RADIUS servers.
  • Dedicated Mist Edge(s) are a must for the IDP proxy functionality.
  • For proxy service redundancy multiple Mist Edges can be used as part of the same Mist Edge cluster.

Configure Juniper Mist

Preencha essas etapas no Portal Juniper Mist.
  1. Na página do Mist Edges, reclame ou registre uma Mist Edge e crie um cluster Mist Edge.
    Você pode fazer essas tarefas selecionando o Mist Edges no menu esquerdo do portal Juniper Mist. Em seguida, use os botões para reivindicar o Mist Edge, criar o Mist Edge e criar clusters.
  2. Na página provedores de identidade, adicione um provedor de identidade proxy mist edge.
  3. Na página de Políticas da Auth, configure regras para seu eduroam SSID.

    O exemplo a seguir mostra um cenário básico. Tanto usuários domésticos quanto externos estão na rede eduroam. Usuários externos são colocados em um VLAN convidado, enquanto usuários de roaming em casa e em casa são colocados em uma VLAN universitária primária.

    Sample Auth Policy

Configure Eduroam

No console administrativo de Eduroam, adicione suas Bordas mist. Dependendo do eduroam NRO, o console administrativo pode parecer diferente, mas os pontos de integração gerais permanecerão os mesmos.

Servidores Eduroam Hotspot RADIUS

Eduroam Admin Console: Hotspot RADIUS Servers Page

Reinos IdP da eduroam

Eduroam Admin Console: IdP Realms Page

Verificação

Para verificar a configuração, verifique os eventos na página customer insights ou nos eventos de NAC na página de políticas da Auth.

Nota:

Somente para usuários externos, um evento nac de acesso ao cliente permitido ou negado será gerado sem quaisquer outros eventos naC, devido ao fato de que a autenticação é tratada por um servidor RADIUS externo (eduroam).

Client Events Page Showing NAC Client Access Events