項目一覧

MAC アドレスベースのクライアント認証
IEEE 802.1X ベースのクライアント認証

付録:Mist認証クラウドを使用した動的クライアント認証

このセクションでは、Juniper Mist Access Assuranceを使用して有線クライアントを認証する方法と、このJVDで実行したテストを繰り返す方法の例を示します。まず、図 1 に示すように、スイッチテンプレートの [authentication servers] フィールドで [Mist Auth] が使用されていることを確認します。

次に、[Organization > Auth Policy Labels]ページでRADIUS認証ポリシーラベルを作成する必要があります。

図 1: 認可ポリシーラベルの場所 A screenshot of a computer Description automatically generated

割り当てたいGBPタグを少なくとも3つ作成します。

まず、新しい認証ポリシーラベルを作成します。
- ラベル名=Cameras
- ラベルタイプ=AAA Attribute
  これは、RADIUS メッセージとして使用されることを示すために使用されます。
- ポートネットワーク=GBP Tag
- GBP タグ値=100
図2:最初の新しい認証ポリシーラベル
次に、この新しい認証ポリシーラベルを作成します。
- ラベル名=IT-Department
- ラベルタイプ=AAA Attribute
- ポートネットワーク=GBP Tag
- GBP タグ値 = 200
3 番目に、この新しい認証ポリシーラベルを作成します。
- ラベル名=Printers
- ラベルタイプ=AAA Attribute
- ポートネットワーク=GBP Tag
- GBP タグ値 = 300

その結果、3 つのラベルすべての構成は、図 3 に示す一覧のようになります。

図 3: 認証ポリシーラベル Auth Policy Labels

MAC アドレスベースのクライアント認証

MAC アドレスベースのクライアント認証を使用する場合は、クライアントが接続されているスイッチポートで適切なポートプロファイルが使用されていることを確認します。この例では、ポートプロファイル="vlan1099-mac-auth"を使用し、スイッチポートを図4のように設定しました。ご使用の環境に適したポート ID を使用してください。

図 4: MAC アドレスベースのクライアント認証 Port Profile for MAC Address-Based Client Authentication

のポートプロファイル

次に、以下の例のように、有線クライアントのMACアドレスを識別するための認証ラベルを作成します。

新しい認証ラベルを作成します。
- ラベル名=MACclient1
- Label Type=Client List は、MACアドレスの検証に使用されます。
- ラベル値=<client1-MAC-Address>

少なくとも3つのMACアドレスベースのクライアントに対して、上記の例に基づいて他の認証ラベルを作成します。結果の例を図 5 に示します。

図 5: 認証ポリシーラベルリスト Example Auth Policy Label List

の例

次に、「 組織>認証ポリシー 」ページでさまざまな認証ポリシーを作成する必要があります。

図 6: 認証ポリシーの場所 Authentication Policies Location

以下の例では、すべてのクライアントにGBP tag1(「プリンター」)を割り当てるようにします。したがって、構成は次のようになります。

最初のクライアントの認証ポリシー:
- 名前=Client1
- 一致条件 = MACclient1 および MAB および Wired
- ポリシー=Pass
- 割り当てられたポリシー=Network Access Allowed および Cameras
2番目のクライアントの認証ポリシー:
- 名前=Client2
- 一致条件 = MACclient2 および MAB および Wired
- ポリシー=Pass
- 割り当てられたポリシー=Network Access Allowed および Cameras
3 番目のクライアントの認証ポリシー:
- 名前=Client3
- 一致条件 = MACclient3 および MAB および Wired
- ポリシー=Pass
- 割り当てられたポリシー=Network Access Allowed および Cameras

図 7: 認証ポリシーリスト Example Auth Policies List

の例

クライアントごとに1つの認証ポリシーを定義することを選択したのは、各クライアントに割り当てられたポリシーを個別に変更し、異なるGBPタグで割り当ててテストできるためです。

手記：

動的なMACアドレスベースの認証をテストする場合、再認証が行われる前に10分がデフォルト設定されています。ラベルを変更して他の組み合わせをテストする場合、10 分では待ちきれない場合があります。ラボの状況では、追加のJunos OS CLI機能を使用して、再認証期間を短縮できます。例えば、再認証期間を 60 秒に設定するには、以下の追加 Junos OS CLI を使用します。 set protocols dot1x authenticator interface vlan1099-mac-auth reauthentication 60。

クライアントがJuniper Mist Access Assuranceによって認証されたら、GBPタグの割り当てを確認できます。これを行うには、Juniper Mist ポータルで [クライアント] > [有線クライアント ] に移動します。

図8:有線クライアントの場所 Wired Clients Location

構成した有線クライアントを特定し 、[Wired Client Insights] をクリックします。

図9:有線クライアントリスト Wired Client List

以下は、最初のクライアントイベントレポートの例です。新しいクライアントがどのインターフェイスを介して接続したかを確認できます。

図 10:有線クライアントイベントリスト:ユーザー認証 Wired Client Events List – User Authentication

通常表示される 2 つ目のイベントは、NAC 認証そのものです。以下に、認証タイプ、使用が有効であることが判明した認証ルール、および動的認証の一部として適用された最終的なGBPタグを示します。

図 11: [Wired Client Events List]:[NAC Client Access Allowed A screenshot of a computer Description automatically generated

]

IEEE 802.1X ベースのクライアント認証

IEEE 802.1X ベースのクライアント認証を使用する場合は、クライアントが接続されているスイッチポートで正しいポートプロファイルが使用されていることを確認します。ここでは、ポートプロファイル「vlan1099-eap-auth」を使用し、以下の例のようにスイッチポートを設定しました。ご使用の環境に適したポート ID を使用してください。

図 12: 802.1X ベースのクライアント認証 A screenshot of a computer Description automatically generated

のポート構成

テストの際、最低でも3つのクライアントを個別に識別し、異なるGBPタグを動的に割り当てることができるようにしたいと考えました。選択されたアプローチは、EAP-TLSを使用し、各サプリカントに保存されているクライアント証明書の属性によって個々のクライアントを特定するというものでした。どの値を選択するかは、使用するエンタープライズ PKI によって異なります。私たちのケースでは、各クライアントには、サプリカント証明書の「共通名」属性に異なる名前があることがわかっています。したがって、以下の例に示すように、このフィールドを使用して3つのクライアントラベルを作成しました。

[Organization > Auth Label] に移動し、次のリストに示すようにフィールドを設定することで、新しい認証ポリシーラベルを作成します。
- ラベル名=TLSclient1
- ラベルタイプ=Certificate Attribute
- ラベル値=Common Name (CN)
- 共通名値=user01@example.net

図 13: EAP-TLS 認証 Example Auth Policy Label for EAP-TLS Authentication

の認証ポリシーラベルの例

図14に示すように、少なくとも3つのTLSクライアントについて、上記の例に基づいて他のラベルを作成します。

図 14: EAP-TLS 認証ポリシーラベルリストの例 Example EAP-TLS Authentication Policy Label List

次に、[ Organization > Auth Policies ] ページでさまざまな認証ポリシーを作成します。

以下の例では、すべてのクライアントにGBP tag1( Printers )を割り当てたいと考えています。したがって、構成は次のようになります。

最初のクライアントの認証ポリシー:
- 名前=Client1
- 一致条件 = TLSclient1 および EAP-TLS および Wired
- ポリシー=Pass
- 割り当てられたポリシー=Network Access Allowed および Cameras
2 番目のクライアントの認証ポリシー:
- 名前=Client2
- 一致条件 = TLSclient2 および EAP-TLS および Wired
- ポリシー=Pass
- 割り当てられたポリシー=Network Access Allowed および Cameras
3 番目のクライアントの認証ポリシー:
- 名前=Client3
- 一致条件 = TLSclient3 および EAP-TLS および Wired
- ポリシー=Pass
- 割り当てられたポリシー=Network Access Allowed および Cameras

図 15: EAP-TLS 認証ポリシーリスト Example EAP-TLS Authentication Policies List

の例

この時点で、まだ行っていない場合は、Juniper Mist認証クラウド用にエンタープライズ PKI を構成する必要があります。

[Organization > Certificates] に移動します。

図 16: GUI

での証明書の場所Mist

[ Add Certificate Authority ] ボタンをクリックします( 図 17 参照)。

図 17: 認証局

の追加

エンタープライズ PKI ルート CA の base64 でエンコードされた部分を [署名付き証明書 ] ウィンドウに貼り付けます。

図 18: [Signed Certificate] ウィンドウ Signed Certificate Window

結果は次のようになります。

次に、[Import Custom RADIUS サーバー証明]をクリックします。

次の設定を適用します。
- エンタープライズ PKI RADIUS サーバー証明書キーの base64 でエンコードされた部分の内容を [ 秘密キー ] フィールドに貼り付けます。
- エンタープライズ PKI によっては、暗号化されたキーを開くために RADIUS サーバー証明書にパスワードが必要な場合があります。その場合は、この情報をここに入力してください。
- エンタープライズPKI RADIUSサーバ公開証明書のbase64でエンコードされた部分の内容を [署名付き証明書 ]フィールドに貼り付けます。
入力されたプロパティフィールドの情報を確認します。
- 共通名は DNS FQDN である必要があります。
- 拡張キー使用法 = TLS Web サーバー認証

図19:入力されたカスタムRADIUSサーバー証明フィールド Example of Filled-in Import Custom RADIUS Server Certificate Fields

インポートの例

「保存」をクリックします。

これで、EAP-TLSクライアントの認証を開始できます。

クライアントがJuniper Mist Access Assuranceによって認証されたら、GBPタグの割り当てを確認できます。これを行うには、[ Clients] > [Wired Clients]に移動します。

構成した有線クライアントを特定し 、[Wired Client Insights]をクリックします。

まず、RADIUSサーバーの証明書を確認します。

次に、RADIUS サーバーが検証を確認したサプリカントからのクライアント証明書に関する情報が表示されます。ここでは、証明書の属性を使用して単一のクライアントを識別するため、証明書の属性を確認することが重要です。

次に、このクライアントにネットワークアクセスを許可するという NAC システムの決定と、それを許可したルールが表示されます。割り当てられたGBPタグも確認できます。