Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

Juniper Mist認証プロキシ: サードパーティデバイスのサポート

Juniper Mist Authentication Proxy を使用して、Cisco IOS デバイスなどのサードパーティ デバイスへのエンド クライアントおよび管理ユーザ認証をサポートするには、次の手順を実行します。

概要

™ Juniper Mist Access Assuranceは、Mist Edgeプラットフォーム上で動作するMist認証プロキシアプリケーションを活用することで、サードパーティ製デバイスに対するエンドユーザーおよび管理ユーザーの認証をサポートします。

Mist Edgeは、以下を必要とする非Mist管理対象デバイスの「ゲートウェイ」として、Mist Cloudとサーバーによって管理されます。

  • 接続しているエンドクライアント(サードパーティのスイッチ、無線LANコントローラ、アクセスポイント(AP)など)の認証を実行します

  • 認証 management-users(ファイアウォールやスイッチ CLI 管理インターフェイスへの管理者ログインなど)

これを設定するには、サードパーティ製デバイスをMist EdgeクラスタのRADIUSクライアントとして追加します。クラスタは、すべての認証トラフィックを安全なRadSecトンネルにラップし、Mist Access Assuranceクラウドに送信します。

図 1:Juniper Mist Edge as Auth Proxy:接続Juniper Mist Edge as Auth Proxy—Flow of Connectionsのフロー

設計上の考慮事項

  • Mist Edgeは複数のサイトから認証プロキシとして機能できます。サイトごとにエッジを設定する必要はありません。

  • 冗長性を確保するために、異なるデータ センターまたは PoP(ポイント オブ プレセンス)に少なくともいくつかの Mist Edge を設置することをお勧めします。

  • Mist認証プロキシ機能は、すべてのMist Edgeプラットフォームでサポートされています。Auth Proxyには専用のMist Edgeアプライアンス(またはVM)を使用しMist Auth ProxyとTuntermまたはOCProxy機能を組み合わせることは避けMistことをお勧めします。

  • Mist Edge VM を使用している場合、必要なネットワーク インターフェイスは 1 つだけで、Mist Auth プロキシ機能のロックを解除するには ME-VM-OC-PROXY が必要であることに注意してください。

RADIUS 属性について

  • Mist Access Assuranceは、設定されたベンダーに基づいて、access-accept応答で正しいRADIUS属性を自動的に送信し、VLAN、ロール(ファイアウォールフィルター)、およびセッションタイムアウトを割り当てます。
  • ベンダー固有のカスタムRADIUS属性ラベルを活用して、特別なユースケースの場合に特定の属性を返送します。

サードパーティベンダーの追加と認証ポリシーの設定

  1. Mist Edge クラスター構成: クラスター構成に、サードパーティベンダーを RADIUS クライアントとして追加します。
    1. Juniper Mist ポータルの左側のメニューから、[Mist Edge ( Edges)] を選択します。
    2. [Mist Edge クラスタ] で、既存のクラスタをクリックするか、新しいクラスタを作成します。
    3. クラスタ ページの [Radius Proxy] で、[Enabled] をクリックします。
    4. タイプを [Mist Auth Proxy] に設定します。
    5. クライアントの追加」をクリックします。
    6. 新しいクライアントの情報を入力します。

      • IP アドレス

      • 共有シークレット

      • 売り手

      • サイト(オプション)

      RADIUS Client Example
    7. [新しいクライアント] セクションの上部にあるチェックマークをクリックして、設定を保存します。
    8. [Mist Edge クラスタ( Clusters)] ページの右上隅にある [保存(Save)] をクリックします。
  2. リソース ラベル: サード パーティ ベンダーのデバイスを、後で認証ポリシーで使用できるリソースとして識別するためのラベルを追加します。
    1. 左側のメニューから [Organization > Access > Auth Policies] を選択します。
    2. 「認証ポリシー」ページの上部で、「ラベルの作成」をクリックします。
      Location of Add Rule and Create Label Buttons
    3. 次の情報を入力します。

      • [ラベル名(Label Name)]:認証ポリシーでこのラベルを使用する場合に、このサードパーティ ベンダーのデバイスを認識できるように、わかりやすいラベルを入力します。

      • [ラベル タイプ(Label Type)]: [AAA 属性(AAA Attribute)] を選択します。

      • [Label Values (ラベル値)] - [Custom Vendor Specific Attribute] を選択します。

      • 属性の追加」をクリックし、「 名前 」と 「値」を入力して、「 作成」をクリックします。

      Label Example
  3. 認証ポリシー: サードパーティのデバイスによって認証されるユーザーを識別するルールを追加します。
    1. [Auth Policy] ページの上部で、[Add Rule] をクリックします。

      新しいルールは、ルールの一番上に番号が付けられて表示されます。1.

      New Rule on the Auth Policies Page
    2. このポリシーの情報を入力します。

      • [名前(Name)]:このポリシーの目的を識別するためのわかりやすい名前を入力します。

      • [一致条件(Match Criteria)]:[+] をクリックし、このベンダー デバイスによって認証されるユーザまたはユーザ グループを選択します。

      • ポリシー - 緑色のチェックマークは、これらのユーザーにリソースへのアクセスを許可するため、そのままにしておきます。

      • [割り当てられたポリシー(Assigned Policies)]:[+] をクリックし、サードパーティ ベンダーのデバイス用に作成したラベルを選択します。

    3. [Auth Policies] ページの右上隅にある [Save] をクリックします。
  4. 必要に応じて、追加のベンダーのルールを追加します。

    この例では、さまざまな目的に応じた多数のルールを示しています。リソースまたはユーザーのラベルにカーソルを合わせると、詳細情報が表示されます。

Mist EdgeをRADIUSサーバーとして使用するようにサードパーティベンダーのデバイスを設定します。

サードパーティベンダーデバイスの設定

サードパーティベンダーのデバイスをRADIUSサーバーとしてMist Edge OOBM IPアドレスに向けます。

複数の Mist Edge を展開する場合は、サードパーティ デバイスのサポートに応じて、各Mist Edgeをフェイルオーバー モードまたはロードバランシング モードで RADIUS サーバーとして追加します。

例:Cisco IOS デバイス構成

手記:ログインを検証するときは、常にユーザーのドメイン名を追加します。

user123@company.net@10.148.2.21

ログイン記録の確認

新しい認証ポリシーの検証プロセスの一環として、[NAC Clients] ページと [NAC Events] ページですべてのログイン試行のステータスを確認できます。

図 2:[NAC Clients] ページ NAC Clients
図 3:NAC イベント NAC Events