Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

クレデンシャルベース(EAP-TTLS)認証の設定

拡張認証プロトコル - トンネルTLS(EAP-TTLS)は、クライアント側でユーザー名とパスワードを使用し、サーバー側でサーバー証明書を使用して、安全なアクセスを提供します。

次のタスクでは、有線クライアント用に EAP-TTLS を構成する方法を示します。これらの認証方法では、ID プロバイダー (IdP) に格納されている資格情報を使用してユーザー名とパスワードを検証します。

前提 条件

  • アイデンティティプロバイダ(IdP)をJuniper Mistポータルと統合して設定する必要があります。 「Juniper Mist Access AssuranceのIDプロバイダを追加する」を参照してください。

  • クライアントデバイスをサプリカントとして設定する必要があります。この設定では、エンタープライズ公開キー基盤 (PKI) のルート証明機関 (CA) 証明書を追加し、IdP にユーザー名とパスワードを入力する必要があります。

  • ワイヤレスクライアント認証(ワイヤレスクライアント固有のタスク)を実行するには、ジュニパーアクセスポイントが必要です。

  • クラウド RADIUS サーバーが使用するパブリックまたはプライベートのエンタープライズ TLS サーバー証明書を構成する必要があります。

Azure IdP 統合を使用して資格情報ベース (EAP-TTLS) 認証を構成する方法については、次のビデオをご覧ください。

Now, what else could we do with an IDP? We've already established that if we are using certificates or tell us to authenticate, we could use IDP and an additional source of information or context about the user. So namely, group memberships. Now, what about the authenticating users themselves without certificates?

What about authenticating users using usernames and passwords? We could leverage the existing connector with Azure to do EAP-TTLS authentication. With EAP-TTLS, the clients are using usernames and passwords to authenticate, as opposed to client certificates. So we can create another rule. We could say we are matching on the wireless user that is using TTLS instead of TLS.

And let's also match on the employee group. Why not? So we'll call it credential authentication - no - show authentication employees. Now, we will assign them to corporate VLAN. We'll hit Save. One thing we need to make sure that on the Azure portal on the app that we've created previously, there's one requirement for password authentication to work, you'll need to enable public client flows. Just click yes right here under authentication. You'll hit save.

And now we can go and check our client device. Let's take a look at the Windows device, how we can configure a Windows device to use TTLS. So we'll connect to mist-secure-net SSID. We'll be immediately prompted by the system to provide our username and password. So I'm going to give my full username and password. The important piece is to provide the full domain name - microsoft.com.

This is how the access assurance will find out which identity provider to talk to based on the domain name after the user. So click OK. Ask us to connect. And we're not connected using username and password. Now, let's take a look at our client events.

Let's look at the client insights. What we're seeing here is a slightly different flow because we are using usernames and passwords, we are not dealing with client certificates here. But the client is still trust in the server certificate. That's mutual trust is still there.

Now, we are going immediately to the identity provider to do the authentication to validate the credentials of that specific user. Now, after this phase is successful, we'll go ahead and look up all the user groups, the user roles from Azure, and finally we are matching on a specific authentication policy rule which we've just created to match on our new condition when clients are using TTLS.

有線ネットワークでのクレデンシャルベース(EAP-TTLS)認証の設定

Juniper Mistポータルを使用して有線ネットワークの証明書ベースの認証を設定するには、次の手順に従います。

  1. 信頼されたルート証明機関 (CA) をインポートします。Juniper Mistは、認証局(CA)が生成した証明書をサーバー証明書として使用します。詳細については、「デジタル証明書の使用」を参照してください。
  2. 認証ポリシーを作成します。
    1. Juniper Mistポータルの左側のメニューから、[組織]>[アクセス>認証ポリシー]を選択します。
      有効な証明書を持つクライアントへのアクセスを許可する新しい規則を作成します。 認証ポリシーの設定を参照してください。
      以下の詳細を含む認証ポリシーを定義します。それぞれのドロップダウンリストから各フィールドに必要なオプションを選択します。
      1. 名前 - ポリシーの名前を入力します。(例: TLS クライアント)
      2. 一致条件: EAP-TTLS を選択します。
      3. ポリシー - [許可] を選択します。
      4. 割り当て済みポリシー - [ ネットワーク アクセスの許可] を選択します。
  3. スイッチを設定します。
    1. Juniper Mistポータルの左側のメニューから、[組織]>[有線>スイッチテンプレート]を選択します。
      [テンプレートの切り替え] ページで、既存のテンプレートをクリックして構成ページを開くか、ページの右上隅にある [ テンプレートの作成] をクリックしてテンプレートを作成します。
    2. [認証サーバー] セクションで、認証サーバーとして [Mist Auth] を選択します。
    3. [ ポート プロファイル(Port Profile)] セクションまで下にスクロールし、次の設定を行います。
      • モード - アクセス
      • [dot1x 認証を使用する] オプションを有効にします。
    4. 接続された有線クライアントがネットワークアクセスを必要とするスイッチの各ポートにポートプロファイルを割り当てます。

      [ポートの構成] タブの [スイッチの構成の選択] セクションで、[ポート範囲の追加] をクリックして、ポート プロファイルをポートに関連付けます。

      図1:スイッチ Assign Port Profile to Port Ranges on a Switchのポート範囲へのポートプロファイルの割り当て
    5. 保存」をクリックします。

これで、ネットワークで EAP-TTLS を使用してクライアントを安全に認証できるようになりました。

認証ポリシーは、有効なユーザー名とパスワードを持つクライアントがネットワークにアクセスすることを許可します。

Juniper Mist Cloudは、ユーザー名とパスワードをパブリック資格情報プロバイダーに保存されている資格情報と照合し、 ラベル構成に基づいてアクセスと承認を付与します。

関連付けられたクライアントは、Juniper Mistポータルで確認できます。

  • [クライアント] > [有線クライアント] を選択して、クライアントの詳細を表示します。
  • [ >サービス レベルの監視] > [Insights ] を選択して、クライアント イベントを表示します。