Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Caso de uso: Mist Edge Proxy para Eduroam

Ao planejar sua implantação do Juniper Mist™ e do eduroam, leia este caso de uso para ver como você pode integrar o Juniper Mist Access Assurance ao eduroam usando o Mist Edge como um proxy IdP.

Visão geral

Este caso de uso mostra como você pode integrar o Juniper Mist Access Assurance com NROs (Operadores de Roaming Nacionais) eduroam usando o Mist Edge atuando como um proxy RADIUS. O Mist Edge atua como um gateway para servidores eduroam RADIUS com um IP público estático ou IP NAT atribuído de forma que possa ser registrado como um cliente RADIUS no portal de administração do eduroam.

O Mist Edge Proxy é usado em particular com fluxos de autenticação eduroam SP e IdP; isso não afeta a autenticação de usuários domésticos.

Os fluxos de chamada a seguir ilustram três tipos de usuários em redes eduroam e como cada tipo é autenticado por meio do Mist Access Assurance e do proxy do Mist Edge: usuários domésticos no campus, visitantes externos no campus (SP) e usuários móveis domésticos (IdP).

Usuários domésticos

Os usuários domésticos são clientes que estão se conectando ao eduroam SSID em seu próprio campus universitário. Por exemplo, um usuário com uma conta @university1.edu está atualmente na Universidade 1. Este usuário está em seu reino "doméstico". Esse é o cenário típico para a maioria das autenticações que acontecem diariamente nesta universidade.

Esse cenário não requer proxy do Mist Edge. O usuário é autenticado diretamente com o Mist Access Assurance.

Call Flow for Home Users

Visitantes Externos

Visitantes externos são clientes que visitam um campus universitário de outra instituição. Por exemplo, um usuário com uma conta @university2.edu está visitando a Universidade 1 no momento. Esse usuário é identificado por um reino que não é o reino "inicial".

Esse cenário requer que Mist Edge Proxy IDP encaminhe solicitações de autenticação para university2.edu via servidores RADIUS eduroam. Os visitantes externos são autenticados por meio de um proxy do Mist Edge, em que o Mist Edge faz solicitações de autenticação de proxies para os servidores RADIUS nacionais do eduroam.

Call Flows for External Visitor

Usuários de roaming doméstico

Os usuários de roaming doméstico são clientes que estão visitando uma instituição diferente e gostariam de se autenticar em um SSID eduroam usando suas credenciais da universidade de origem.

Neste exemplo, um usuário com uma conta @university1.edu está visitando a Universidade 2. As solicitações autenticação vêm de university2.edu via servidores eduroam RADIUS para university1.edu. As solicitações de acesso RADIUS dos servidores RADIUS nacionais eduroam são recebidas pelo proxy Mist Edge e, em seguida, encaminhadas para o serviço Mist Access Assurance para autenticação.

Call Flows for Roaming Home Users

Requisitos de firewall

Mist Edge uses Out Of Band Management interface (OOBM) for all its proxy functionalities. You need to ensure that traffic can flow to and from the Mist Edge OOBM interface.

Network architecture diagram showing connectivity to eduroam via Mist Access Assurance, Access Point, Mist Edge, RadSec, and RADIUS protocols for secure Wi-Fi access.

Allow the following ports and destinations:

  • Inbound (towards Mist Edge OOBM interface)

    • RADIUS Auth & Acct (1812 / 1813 UDP). You can limit source IPs to eduroam national RADIUS servers.

    • RadSec (2083 TCP). You can limit source IPs based on the following document.

  • Outbound (from Mist Edge OOBM interface):

    • RADIUS Auth & Acct (1812 / 1813 UDP)

    • RadSec (2083 TCP) towards radsec.nac.mist.com

    • HTTPS (443 TCP) towards ep-terminator.<mist_cloud_env>.mist.com (more on correct endpoint for your cloud environment in this document).

Note:
  • Mist Access Assurance only supports EAP-TLS, TEAP or EAP-TTLS methods for home users and home roaming users.
  • For external visitors any EAP method is supported, including PEAP-MSCHAPv2. EAP method support is determined by an external institution RADIUS servers.
  • Dedicated Mist Edge(s) are a must for the IDP proxy functionality.
  • For proxy service redundancy, multiple Mist Edges can be used as part of the same Mist Edge cluster.

Configurar o Juniper Mist

Conclua estes passos no portal Juniper Mist.
  1. Integre seus dispositivos Mist Edge e crie um cluster Mist Edge.

    Dicas:

    • Para adicionar um dispositivo — No menu à esquerda, selecione Mist Edges. Clique em Reivindicar Mist Edge para um dispositivo integrado anteriormente ou clique em Criar Mist Edge para um novo dispositivo.

    • Para adicionar um cluster do Mist Edge — No menu à esquerda, selecione Mist Edges. Na página Mist Edges, clique em Criar cluster. Insira um nome e selecione os dispositivos de borda a serem incluídos.

  2. Adicione um IDP de proxy do Mist Edge.

    Dicas:

    • Para adicionar um provedor de identidade usando Mist Edge proxy — No menu à esquerda, selecione Organização > acesso > provedores de identidade. Na seção Configuração Estática da página, clique em Adicionar IDP. Selecione Mist Edge Proxy como o tipo de IDP. Preencha os campos na seção Configuração. Consulte as dicas na tela para obter ajuda.

    • Para especificar hosts proxy — Insira os endereços IPv4 públicos que o Mist Edge escutará para solicitações RadSec e RADIUS. Todos esses dispositivos devem pertencer ao cluster Mist especificado.

    • Para excluir domínios/realms deste proxy—Insira os domínios/realms, separados por vírgulas. Por exemplo, na maioria dos casos, você usará autenticação locais para seus próprios usuários, portanto, excluiria o domínio da sua universidade, como myuniversity.edu.

    • Para especificar o atributo RADIUS Operator-Name em solicitações — Insira o atributo neste formato: 1<fqdn> como 1myuniversity.com.

    Exemplo

    Configuration interface for network authentication and proxy settings. Mist Edge Proxy selected as IDP. Proxy host IP 89.103.39.92. SSIDs eduroam and eduroam-test listed. Mist Edge Cluster Eduroam-Proxy selected. Realm myuniversity.edu excluded. Operator name 1myuniversity.edu. RADIUS authentication server IP 3.85.225.61 port 1812. RADIUS accounting server IP 3.85.225.61 port 1813.
    Para obter mais informações, consulte Adicionar provedores de identidade para o Juniper Mist Access Assurance.
  3. Configure regras de acesso para seus usuários e visitantes.

    Dicas:

    • Para adicionar uma política: no menu à esquerda, selecione Organização > acesso > políticas de autenticação. Clique em Adicionar regra. Insira um nome, critérios de correspondência, ação (permitir ou bloquear) e políticas.

    • Para obter instruções detalhadas, consulte Configurar política de autenticação.

    O exemplo a seguir mostra regras que se aplicam a todos os três tipos de usuários. A primeira regra coloca os usuários de roaming doméstico e doméstico na VLAN primária da universidade. A segunda regra coloca visitantes externos em uma VLAN de convidado.

    Sample Auth Policy

Configurar o eduroam

No console de administração do eduroam, adicione seus Mist Edges. Dependendo do eduroam NRO, o console de administração pode parecer diferente, mas os pontos de integração gerais permanecerão os mesmos.

Servidores Eduroam Hotspot RADIUS

Eduroam Admin Console: Hotspot RADIUS Servers Page

Reinos Eduroam IdP

Eduroam Admin Console: IdP Realms Page

Verificação

Para verificar a configuração, verifique os eventos na página Insights do cliente ou em Eventos NAC na página Políticas de autenticação.

Nota:

Somente para usuários externos, um evento NAC Client Access Allowed ou Denied será gerado sem nenhum outro evento NAC, devido ao fato de que a autenticação é tratada por um servidor RADIUS externo (eduroam).

 Client Events Page Showing NAC Client Access Events

Dica de solução de problemas: Se você não estiver vendo os resultados esperados, revise a configuração do firewall. Verifique se você abriu todas as portas e destinos necessários.