Caso de uso: Proxy do Mist Edge para Eduroam
RESUMO Este caso de uso de eduroam ilustra como usar o Mist Edge como um proxy IdP.
Visão geral
Este caso de uso mostra como você pode integrar o Juniper Mist Access Assurance com eduroam NROs (Operadores nacionais de roaming) usando o Mist Edge atuando como um proxy RADIUS. O Mist Edge atua como um gateway para servidores eduroam RADIUS com um IP público estático ou IP NAT atribuído de forma que ele possa ser registrado como um cliente RADIUS no portal de administração eduroam.
O Proxy do Mist Edge é usado em especial com fluxos de autenticação de eduroam SP e IdP; não afeta a autenticação dos usuários domésticos.
Os fluxos de chamadas a seguir ilustram três tipos de usuários em redes eduroam e como cada tipo autentica via Mist Access Assurance e proxy Mist Edge: usuários domésticos no campus, visitantes externos no campus (SP) e usuários de roaming doméstico (IdP).
Usuários domésticos
Os usuários domésticos são clientes que estão se conectando ao eduroam SSID em seu próprio campus universitário. Por exemplo, um usuário com uma conta @university1.edu está atualmente na Universidade 1. Este usuário está em seu reino "casa". Este é o cenário típico para a maioria das autenticações que acontecem diariamente nesta universidade.
Esse cenário não requer proxy do Mist Edge. O usuário autentica diretamente com o Mist Access Assurance.

Visitantes externos
Visitantes externos são clientes que estão visitando um campus universitário de outra instituição. Por exemplo, um usuário com uma conta @university2.edu está visitando a Univeristy 1 no momento. Este usuário é identificado por um reino que não é o reino "casa".
Esse cenário exige que o Mist Edge Proxy IDP encaminhe solicitações de autenticação para university2.edu por meio de servidores eduroam RADIUS. Visitantes externos autenticam por meio de um proxy Mist Edge, onde o Mist Edge faz as solicitações de autenticação dos servidores RADIUS nacionais da eduroam.

Usuários de roaming doméstico
Os usuários de roaming doméstico são clientes que estão visitando uma instituição diferente e gostariam de autenticar um SSID eduroam usando suas credenciais de universidade de casa.
Neste exemplo, um usuário com uma conta @university1.edu está visitando a Universidade 2. As solicitações de autenticação vêm de university2.edu por meio de servidores eduroam RADIUS em direção a university1.edu. As solicitações de acesso RADIUS dos servidores RADIUS nacionais da eduroam são recebidas pelo Proxy do Mist Edge e depois encaminhadas ao serviço Mist Access Assurance para autenticação.

Requisitos de firewall
Mist Edge uses Out Of Band Management interface (OOBM) for all its proxy functionalities. It is possible to either assign a public IP address to the OOBM interface or place it behind NAT firewall.
The following ports and destinations must be allowed:
-
Inbound (towards Mist Edge OOBM interface)
-
RADIUS Auth & Acct (1812 / 1813 UDP) – you could limit source IPs to eduroam national RADIUS servers
-
RadSec (2083 TCP) – you could limit source IPs based on the following document.
-
-
Outbound (from Mist Edge OOBM interface):
-
RADIUS Auth & Acct (1812 / 1813 UDP)
-
RadSec (2083 TCP) towards radsec.nac.mist.com
-
HTTPS (443 TCP) towards ep-terminator.<mist_cloud_env>.mist.com (more on correct endpoint for your cloud environment in this document).
-
- Mist Access Assurance only supports EAP-TLS, TEAP or EAP-TTLS methods for home users and home roaming users.
- For external visitors any EAP method is supported, including PEAP-MSCHAPv2. EAP method support is determined by an external institution RADIUS servers.
- Dedicated Mist Edge(s) are a must for the IDP proxy functionality.
- For proxy service redundancy multiple Mist Edges can be used as part of the same Mist Edge cluster.
Configure Juniper Mist
Configure Eduroam
No console administrativo de Eduroam, adicione suas Bordas mist. Dependendo do eduroam NRO, o console administrativo pode parecer diferente, mas os pontos de integração gerais permanecerão os mesmos.
Servidores Eduroam Hotspot RADIUS
Reinos IdP da eduroam
Verificação
Para verificar a configuração, verifique os eventos na página customer insights ou nos eventos de NAC na página de políticas da Auth.
Somente para usuários externos, um evento nac de acesso ao cliente permitido ou negado será gerado sem quaisquer outros eventos naC, devido ao fato de que a autenticação é tratada por um servidor RADIUS externo (eduroam).
