Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Configure um servidor proxy RADIUS

Este capítulo fornece informações sobre a configuração do servidor proxy do Serviço de usuário dial-in de autenticação remota (RADIUS) para um dispositivo Juniper Mist™ Edge.

Visão geral do PROXY RADIUS

Em uma rede Juniper Mist™, você pode usar pontos de acesso (APs) como fonte de mensagens de solicitação de acesso do Serviço de autenticação remota (RADIUS). Com o recurso proxy RADIUS, você pode usar seu dispositivo Juniper Mist Edge como fonte de mensagens de solicitação de acesso RADIUS.

É impossível adicionar todos os APs como clientes individuais no servidor RADIUS em um grande cenário de implantação, como qualquer um deles:

  • Instalação de um grande número de APs da Juniper Mist

  • Identificadores de conjunto de serviços (SSIDs) com autenticação 802.1x

Quando você configura um proxy RADIUS, em vez de adicionar os APs como clientes individuais, você pode usar apenas um IP (o proxy RADIUS).

O proxy RADIUS atua como um servidor em direção aos clientes AP RADIUS sem fio e como um cliente em direção aos servidores RADIUS.

Configure um servidor proxy RADIUS

Antes de configurar um servidor proxy RADIUS para usar em sua rede Juniper Mist, você deve:

  • Reclame o Mist Edge e configure o IP OOBM e o IP do túnel.

  • Configure túneis e mapas da Mist com o cluster Mist Edge.

  • Configure a WLAN com a autenticação RADIUS e o encaminhamento para túneis Mist.

O recurso de proxy RADIUS permite que você use um dispositivo Juniper Mist Edge como fonte de mensagens de solicitação de acesso RADIUS em vez de usar o AP como fonte. Isso significa que você deve configurar o servidor RADIUS para permitir o IP OOBM de borda da Juniper Mist em vez de adicionar APs individuais como clientes. Ou, se você habilitar o IP do túnel como fonte, você deve configurar o servidor RADIUS para permitir o IP do túnel. Essas opções de configuração significam que você pode ignorar a inclusão de vários APs individuais no servidor RADIUS para implantações maiores.

Configure um servidor RADIUS no nível da organização

Por padrão, um dispositivo Juniper Mist Edge é um objeto de nível de organização. Os pontos de acesso (APs) da Juniper Mist de todos os locais podem formar túneis com este objeto.

Para configurar um servidor RADIUS no nível de organização da hierarquia da rede:

  1. No portal Juniper Mist, navegue até a Mist Edges > clusters de borda da Mist e selecione um cluster.
  2. Na janela Radius Proxy, clique no botão de opçãoEnabled.
  3. Clique Add server ao lado dos servidores Radius Authentication.
  4. Insira o Hostname eShared Secret.
  5. Clique na marca de verificação azul para salvar configurações.

    Os servidores radius authentication e contabilidade estão em uma lista ordenada. Isso implica que, se o primeiro servidor não for acessível, então o proxy RADIUS encaminha a solicitação para o próximo servidor disponível na lista.

  6. (Opcional) Selecione a Enable Key Wrap caixa de verificação para habilitar o keywrap. Selecione o Radius Authentication Server da lista e insira o Key Encryption Key eMessage Authenticator Code Key. Essa ação permite campos adicionais de tipo chave (selecione ASCII ou Hex) e valores-chave.
  7. Repita a etapa 2 até a etapa 6 para servidores de contabilidade RADIUS.
  8. (Opcional) Selecione a Tunnel IP as Source caixa de verificação, se quiser que os pacotes RADIUS (e a contabilidade) se originem com a fonte como IP do túnel.
    Nota:

    Neste caso, o cliente do servidor de acesso à rede (NAS) no servidor de autenticação, autorização e contabilidade (AAA) é o IP de túnel do Juniper Mist Edge. Caso contrário, seria IP fora de banda (OOBM).
  9. Clique no Save botão para salvar as configurações de proxy RADIUS no cluster juniper Mist Edge.
    Você pode configurar o servidor RADIUS usando a API, se preferir. A seguir, a carga de API.

Configure a afinidade de WLAN para servidores RADIUS no nível da organização

Em uma LAN sem fio (WLAN), você usa diferentes servidores RADIUS em sua implantação com base no nome do identificador de conjunto de serviços (SSID). Por exemplo, sua implantação pode usar um servidor RADIUS público para um SSID chamado eduroam , mas um servidor RADIUS diferente para todos os SSIDs corporativos. O Juniper Mist Edge permite essa flexibilidade em seu serviço proxy RADIUS. Você pode configurar este serviço para encaminhar solicitações de acesso RADIUS (ou contabilidade) a um controle de acesso de rede (NAC) específico, cliente baseado em servidor com um SSID exclusivo.

Para configurar a afinidade de WLAN para um servidor RADIUS:

  1. No portal Juniper Mist, navegue até o Mist Edges.
  2. No painel clusters da Mist Edges, selecione um cluster existente ou crie um cluster.
  3. Configure o servidor proxy RADIUS seguindo as etapas do procedimento intituladas Configure um servidor RADIUS no nível da organização.
  4. Na janela Radius Proxy, selecione a caixa de verificação Match SSID. Um novo menu suspenso SSID aparece para cada servidor de autenticação RADIUS e servidor de contabilidade RADIUS.
  5. Selecione um ou mais SSIDs para este servidor RADIUS clicando em Adicionar (+) abaixo do SSID.
    Nota:

    O menu suspenso mostra o SSID com autenticação de 802,1x ou MAB apenas. Recomendamos configurar nomes SSID exclusivos em sites, se a administração pretende usar diferentes servidores RADIUS.
  6. Clique na marca de verificação azul para salvar as configurações do servidor.
  7. (Opcional) Você pode repetir a Etapa 5 e a Etapa 6 para qualquer servidor de autenticação RADIUS adicional na lista.
  8. Você pode repetir a Etapa 5 até a Etapa 7 para configurar a afinidade de WLAN para servidores de contabilidade RADIUS.
  9. Clique em Salvar para salvar as configurações de proxy RADIUS para o cluster.
    Você pode configurar a afinidade de WLAN para o servidor RADIUS usando a API, se preferir.

    A seguir está a API e um exemplo de blob com a configuração. Essa configuração garante que o Juniper Mist Edge receba informações de configuração relacionadas ao RADIUS e inicie o serviço proxy RADIUS.

Configure um servidor proxy RADIUS no nível do site

Antes de configurar um servidor proxy RADIUS no nível do site, você deve configurar os túneis Mist. Se você não tiver configurado os túneis, faça isso agora, antes de prosseguir com a tarefa de configuração. Consulte a implantação da Mist Edge no nível do site .

Para fazer a transição de uma arquitetura legada, ou onde os locais são grandes o suficiente para hospedar uma Juniper Mist Edge, você precisa de uma implantação distribuída. Nesses casos, você pode atribuir os dispositivos Juniper Mist Edge a um site e configurar o tunelamento e o serviço proxy RADIUS para os pontos de acesso (APs) no site.

Para configurar um servidor proxy RADIUS no nível do site:
  1. No portal Juniper Mist, navegue até a configuração > sites da Organização e selecione um site.
    A janela de configuração do site para o site é exibida.
  2. Na janela Radius Proxy, clique no Enable botão para habilitar o servidor proxy RADIUS.
  3. Clique em Adicionar servidor.
  4. Configure os detalhes do servidor digitando valores paraHostname, Porte Shared Secret.
  5. (Opcional) Selecione a Enable Key Wrap caixa de verificação para habilitar o keywrap. Selecione o Radius Authentication Server da lista e insira o Key Encryption Key eMessage Authenticator Code Key. Isso permite campos adicionais de tipo chave (selecione ASCII ou Hex) e valores-chave.
  6. [Opcional] Selecione a Tunnel IP as Source caixa de verificação, se quiser que os pacotes RADIUS (e a contabilidade) se originem com o IP do túnel como fonte.
  7. Clique na marca de verificação azul para salvar suas configurações.
  8. Repita a etapa 2 até a etapa 7 para servidores de contabilidade RADIUS.
    Você pode configurar um servidor RADIUS no nível do site usando a API, se preferir. A seguir, a carga de API.

Configure a afinidade da WLAN para um servidor RADIUS no site

Em uma LAN sem fio (WLAN), você usa diferentes servidores RADIUS em sua implantação com base no nome do identificador de conjunto de serviços (SSID). Por exemplo, sua implantação pode usar um servidor RADIUS público para um SSID chamado eduroam SSID, mas um servidor RADIUS diferente para todos os SSIDs corporativos. O Juniper Mist Edge permite essa flexibilidade em seu serviço proxy RADIUS. Você pode configurar este serviço para encaminhar solicitações de acesso RADIUS (ou contabilidade) a um controle de acesso de rede (NAC) específico, cliente baseado em servidor com um SSID exclusivo.

Além disso, se você usar um dispositivo Juniper Mist Edge no nível do site, você pode configurar um servidor RADIUS especificamente para esse dispositivo.

Para configurar a afinidade de WLAN para um servidor RADIUS na borda do site:

  1. No portal Juniper Mist, navegue até a configuração > organização.
  2. Na página de Sites, selecione um site da lista.
  3. Habilite o proxy Radius para o proxy de borda da Juniper Mist na WLAN.
    Para concluir o procedimento, consulte a Etapa 3 na Configuração de um servidor RADIUS no nível de organização da hierarquia de rede.
  4. Para concluir a configuração, habilite a autenticação 802.1x/MAB na WLAN em túnel e selecione o Proxy de Borda mist como servidor RadSec dentro da configuração da WLAN.