Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Configurer un serveur proxy RADIUS

Ce chapitre fournit des informations sur la configuration du serveur proxy RADIUS (Remote Authentication Dial-In User Service) pour un dispositif Juniper Mist™ Edge.

Présentation du proxy RADIUS

Dans un réseau Juniper Mist™, vous pouvez utiliser des points d’accès (AP) comme source de messages de demande d’accès RADIUS (Remote Authentication Dial-In User Service). Avec la fonctionnalité de proxy RADIUS, vous pouvez utiliser votre dispositif Juniper Mist Edge comme source de messages de demande d’accès RADIUS à la place.

Il n’est pas possible d’ajouter tous les points d’accès en tant que clients individuels sur le serveur RADIUS dans un scénario de déploiement à grande échelle tel que l’un ou l’autre des scénarios suivants :

  • Installation d’un grand nombre de points d’accès Juniper Mist

  • Identificateurs d’ensemble de services (SSID) avec authentification 802.1x

Lorsque vous configurez un proxy RADIUS, au lieu d’ajouter les points d’accès en tant que clients individuels, vous ne pouvez utiliser qu’une seule adresse IP (le proxy RADIUS).

Le proxy RADIUS agit comme un serveur vers les clients RADIUS du point d’accès sans fil et comme un client vers les serveurs RADIUS.

Configurer un serveur proxy RADIUS

Avant de pouvoir configurer un serveur proxy RADIUS à utiliser dans votre réseau Juniper Mist, vous devez :

  • Revendiquez Mist Edge et configurez l’adresse IP OOBM et l’adresse IP de tunnel.

  • Configurez Mist tunnels et cartographiez avec Mist Edge cluster.

  • Configurez le WLAN avec authentification RADIUS et transfert vers Mist tunnels.

La fonctionnalité de proxy RADIUS vous permet d’utiliser un dispositif Juniper Mist Edge comme source des messages de demande d’accès RADIUS au lieu d’utiliser le point d’accès comme source. Cela signifie que vous devez configurer le serveur RADIUS pour autoriser l’adresse IP OOBM de Juniper Mist Edge au lieu d’ajouter des points d’accès individuels en tant que clients. Ou, si vous activez l’adresse IP du tunnel comme source, vous devez configurer le serveur RADIUS pour autoriser l’adresse IP du tunnel. Ces options de configuration signifient que vous pouvez éviter d’ajouter plusieurs points d’accès individuels au serveur RADIUS pour les déploiements plus importants.

Configurer un serveur RADIUS au niveau de l’organisation

Par défaut, un dispositif Juniper Mist Edge est un objet au niveau de l’organisation. Juniper Mist points d’accès (AP) de tous les sites peuvent former des tunnels avec cet objet.

Pour configurer un serveur RADIUS au niveau Organisation de la hiérarchie du réseau :

  1. Dans le portail Juniper Mist, accédez à Mist Edges > Mist Edge clusters et sélectionnez un cluster.
  2. Dans la fenêtre Proxy Radius, cliquez sur le bouton d’optionEnabled.
  3. Cliquez sur Add server en regard de Serveurs d’authentification Radius.
  4. Entrez les champs Hostname et Shared Secret.
  5. Cliquez sur la coche bleue pour enregistrer les paramètres.

    Les serveurs d’authentification et de comptabilité Radius se trouvent dans une liste ordonnée. Cela signifie que si le premier serveur n’est pas accessible, le proxy RADIUS transmet la requête au serveur disponible suivant dans la liste.

  6. (Facultatif) Cochez la Enable Key Wrap case pour activer le retour à la ligne. Sélectionnez le serveur d’authentification Radius dans la liste, puis entrez les champs Key Encryption Key et Message Authenticator Code Key. Cette action permet d’activer des champs supplémentaires de type de clé (sélectionnez ASCII ou Hex) et de valeurs de clé.
  7. Répétez les étapes 2 à 6 pour les serveurs de comptabilité RADIUS.
  8. (Facultatif) Cochez la Tunnel IP as Source case si vous souhaitez que les paquets RADIUS (et la comptabilité) proviennent de la source en tant qu’adresse IP de tunnel.
    Note:

    Dans ce cas, le client NAS (Network-Access Server) sur le serveur d’authentification, d’autorisation et de comptabilité (AAA) est l’adresse IP de tunnel de Juniper Mist périphérique. Dans le cas contraire, il s’agirait d’une IP de gestion hors bande (OOBM).
  9. Cliquez sur le Save bouton pour enregistrer les paramètres de proxy RADIUS dans le cluster Juniper Mist Edge.
    Vous pouvez configurer le serveur RADIUS à l’aide de l’API, si vous préférez. Voici la charge utile de l’API.

Configurer l’affinité WLAN pour les serveurs RADIUS au niveau de l’organisation

Sur un LAN sans fil (WLAN), vous utilisez différents serveurs RADIUS dans votre déploiement en fonction du nom SSID (Service Set Identifier). Par exemple, votre déploiement peut utiliser un serveur RADIUS public pour un SSID nommé eduroam , mais un serveur RADIUS différent pour tous les SSID d’entreprise. Juniper Mist Edge offre cette flexibilité dans son service de proxy RADIUS. Vous pouvez configurer ce service pour transférer les demandes d’accès (ou de comptabilisation) RADIUS à un client serveur de contrôle d’accès réseau (NAC) spécifique doté d’un SSID unique.

Pour configurer l’affinité WLAN d’un serveur RADIUS :

  1. Dans le portail Juniper Mist, accédez à Mist Edges.
  2. Dans le volet Clusters Mist Edges, sélectionnez un cluster existant ou créez-en un.
  3. Configurez le serveur proxy RADIUS en suivant les étapes de la procédure intitulée Configurer un serveur RADIUS au niveau de l’organisation.
  4. Dans la fenêtre Proxy Radius, cochez la case Correspondre au SSID. Un nouveau menu déroulant SSID s’affiche pour chaque serveur d’authentification RADIUS et chaque serveur de comptabilité RADIUS.
  5. Sélectionnez un ou plusieurs SSID pour ce serveur RADIUS en cliquant sur Ajouter (+) sous le SSID.
    Note:

    Le menu déroulant affiche uniquement le SSID avec authentification 802.1x ou MAB. Nous vous recommandons de configurer des noms SSID uniques sur tous les sites, si l’administration a l’intention d’utiliser différents serveurs RADIUS.
  6. Cliquez sur la coche bleue pour enregistrer les paramètres du serveur.
  7. (Facultatif) Vous pouvez répéter les étapes 5 et 6 pour tout serveur d’authentification RADIUS supplémentaire dans la liste.
  8. Vous pouvez répéter les étapes 5 à 7 pour configurer l’affinité WLAN pour les serveurs de comptabilité RADIUS.
  9. Cliquez sur Save (Enregistrer) pour enregistrer les paramètres de proxy RADIUS du cluster.
    Si vous préférez, vous pouvez configurer l’affinité WLAN pour le serveur RADIUS à l’aide de l’API.

    Voici l’API et un exemple d’objet blob avec la configuration. Cette configuration garantit que le dispositif Edge Juniper Mist reçoit les informations de configuration relatives à RADIUS et démarre le service proxy RADIUS.

Configurer un serveur proxy RADIUS au niveau du site

Avant de pouvoir configurer un serveur proxy RADIUS au niveau du site, vous devez configurer les tunnels Mist. Si vous n’avez pas configuré les tunnels, faites-le maintenant, avant de procéder à la tâche de configuration. Reportez-vous à la section Déployer Mist Edge au niveau du site .

Pour passer d’une architecture héritée, ou lorsque les sites sont suffisamment grands pour héberger un Juniper Mist Edge, vous avez besoin d’un déploiement distribué. Dans ce cas, vous pouvez affecter des appliances Edge Juniper Mist à un site et configurer la tunnelisation et le service de proxy RADIUS pour les points d’accès (AP) du site.

Pour configurer un serveur proxy RADIUS au niveau du site :
  1. Dans le portail Juniper Mist, accédez à Organization>Site Configuration et sélectionnez un site.
    La fenêtre de configuration du site s’affiche.
  2. Dans la fenêtre Proxy RADIUS, cliquez sur le Enable bouton pour activer le serveur proxy RADIUS.
  3. Cliquez sur Ajouter un serveur.
  4. Configurez les détails du serveur en saisissant les valeurs de Hostname, Port, et Shared Secret.
  5. (Facultatif) Cochez la Enable Key Wrap case pour activer le retour à la ligne. Sélectionnez le serveur d’authentification Radius dans la liste et entrez les champs Key Encryption Key et Message Authenticator Code Key. Cela permet d’activer des champs supplémentaires de type de clé (sélectionnez ASCII ou Hex) et de valeurs de clé.
  6. [Facultatif] Cochez la Tunnel IP as Source case si vous souhaitez que les paquets RADIUS (et la comptabilité) proviennent de l’adresse IP de tunnel comme source.
  7. Cliquez sur la coche bleue pour enregistrer vos paramètres.
  8. Répétez les étapes 2 à 7 pour les serveurs de comptabilité RADIUS.
    Vous pouvez configurer un serveur RADIUS au niveau du site à l’aide de l’API, si vous préférez. Voici la charge utile de l’API.

Configurer l’affinité WLAN pour un serveur RADIUS sur le site

Sur un LAN sans fil (WLAN), vous utilisez différents serveurs RADIUS dans votre déploiement en fonction du nom SSID (Service Set Identifier). Par exemple, votre déploiement peut utiliser un serveur RADIUS public pour un SSID nommé eduroam , mais un serveur RADIUS différent pour tous les SSID d’entreprise. Juniper Mist Edge offre cette flexibilité dans son service de proxy RADIUS. Vous pouvez configurer ce service pour transférer les demandes d’accès (ou de comptabilisation) RADIUS à un client serveur de contrôle d’accès réseau (NAC) spécifique doté d’un SSID unique.

En outre, si vous utilisez une appliance Juniper Mist Edge au niveau du site, vous pouvez configurer un serveur RADIUS spécifiquement pour cette appliance.

Pour configurer l’affinité WLAN pour un serveur RADIUS en périphérie du site :

  1. Dans le portail Juniper Mist, accédez à Organization>Site Configuration.
  2. Sur la page Sites, sélectionnez un site dans la liste.
  3. Activez le proxy Radius pour le proxy Juniper Mist Edge sur le WLAN.
    Pour terminer la procédure, reportez-vous à l’étape 3 de la section Configurer un serveur RADIUS au niveau de l’organisation de la hiérarchie du réseau.
  4. Pour terminer la configuration, activez l’authentification 802.1x/MAB sur le WLAN tunnelisé et sélectionnez le proxy Mist Edge comme serveur RadSec dans la configuration du WLAN.