Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

導入事例:Mist Edge Proxy for Eduroam

概要 このeduroamのユースケースは、Mist EdgeをIdPプロキシとして使用する方法を示しています。

概要

このユースケースでは、Mist EdgeをRADIUSプロキシとして動作させることで、Juniper Mist Access Assuranceをeduroam NRO(国内ローミング事業者)と統合する方法を示しています。Mist Edgeは、eduroam管理ポータルでRADIUSクライアントとして登録できるように、静的パブリックIPまたはNAT IPが割り当てられたeduroam RADIUSサーバーへのゲートウェイとして機能します。

Mist Edge プロキシは、特に eduroam SP および IdP 認証フローで使用されます。ホーム ユーザーの認証には影響しません。

次のコールフローは、eduroam networksの3種類のユーザーと、それぞれのタイプがMist Access AssuranceとMist Edgeプロキシを介してどのように認証されるかを示しています:キャンパス内のホームユーザー、キャンパス内の外部訪問者(SP)、およびホームローミングユーザー(IdP)。

ホームユーザー

ホームユーザーとは、自分の大学キャンパスでeduroam SSIDに接続しているクライアントです。たとえば、 @university1.edu アカウントを持つユーザーが現在第 1 大学にいます。このユーザーは「ホーム」レルム上にいます。これは、この大学で毎日行われるほとんどの認証の一般的なシナリオです。

このシナリオでは、Mist Edge プロキシは必要ありません。ユーザーはMist Access Assuranceで直接認証されます。

Call Flow for Home Users

外部訪問者

外部訪問者とは、他の機関から大学のキャンパスを訪問するクライアントのことです。たとえば、 @university2.edu アカウントを持つユーザーが現在 Univristy 1 にアクセスしているとします。このユーザーは、「ホーム」レルムではないレルムによって識別されます。

このシナリオでは、Mist Edge プロキシ IDP が認証要求を eduroam RADIUS サーバー経由で university2.edu に転送する必要があります。外部の訪問者は、Mist Edgeプロキシを介して認証します。ここで、Mist Edgeは、eduroamの国内RADIUSサーバーに向けて認証要求をプロキシします。

Call Flows for External Visitor

ホーム ローミング ユーザー

ホームローミングユーザーは、別のインスティテューションを訪問していて、ホーム大学の資格情報を使用してeduroam SSIDに認証したいクライアントです。

この例では、 @university1.edu アカウントを持つユーザーが 2 大学を訪問しています。認証要求は、eduroam RADIUSサーバーを介して university2.edu から university1.edu に向けて送信されています。eduroam国内RADIUSサーバーからのRADIUSアクセスリクエストは、Mist Edgeプロキシで受信され、認証のためにMist Access Assuranceサービスに転送されます。

Call Flows for Roaming Home Users

ファイアウォールの要件

Mist Edge uses Out Of Band Management interface (OOBM) for all its proxy functionalities. It is possible to either assign a public IP address to the OOBM interface or place it behind NAT firewall.

The following ports and destinations must be allowed:

  • Inbound (towards Mist Edge OOBM interface)

    • RADIUS Auth & Acct (1812 / 1813 UDP) – you could limit source IPs to eduroam national RADIUS servers

    • RadSec (2083 TCP) – you could limit source IPs based on the following document.

  • Outbound (from Mist Edge OOBM interface):

    • RADIUS Auth & Acct (1812 / 1813 UDP)

    • RadSec (2083 TCP) towards radsec.nac.mist.com

    • HTTPS (443 TCP) towards ep-terminator.<mist_cloud_env>.mist.com (more on correct endpoint for your cloud environment in this document).

Note:
  • Mist Access Assurance only supports EAP-TLS, TEAP or EAP-TTLS methods for home users and home roaming users.
  • For external visitors any EAP method is supported, including PEAP-MSCHAPv2. EAP method support is determined by an external institution RADIUS servers.
  • Dedicated Mist Edge(s) are a must for the IDP proxy functionality.
  • For proxy service redundancy multiple Mist Edges can be used as part of the same Mist Edge cluster.

Juniper Mistを設定する

Juniper Mistポータルでこれらの手順を実行します。
  1. [Mist Edges] ページで、Mist Edge を申請または登録して、Mist Edge クラスターを作成します。
    これらのタスクは、Juniper Mistポータルの左側のメニューから [Mist Edges ]を選択することで実行できます。次に、ボタンを使用して Mist Edge の要求Mist Edge の作成クラスターの作成を行います。
  2. [ID プロバイダー] ページで、Mist Edge プロキシ ID プロバイダーを追加します。
    詳細については、 Juniper Mist Access AssuranceのIDプロバイダを追加するを参照してください。
  3. [認証ポリシー] ページで、eduroam SSID のルールを構成します。

    次の例は、基本的なシナリオを示しています。ホームユーザーと外部ユーザーの両方がeduroamネットワークを使用しています。外部ユーザーはゲスト VLAN に配置され、ホームおよびホーム ローミング ユーザーは大学のプライマリ VLAN に配置されます。

    Sample Auth Policy

Eduroamを設定する

Eduroam管理コンソールで、Mist Edgesを追加します。eduroam NROによっては、管理コンソールの外観が異なる場合がありますが、全体的な統合ポイントは同じままです。

eduroamホットスポットRADIUSサーバー

Eduroam Admin Console: Hotspot RADIUS Servers Page

eduroam IdP レルム

Eduroam Admin Console: IdP Realms Page

検証

設定を確認するには、[クライアント インサイト] ページまたは [認証ポリシー] ページの [NAC イベント] でイベントを確認します。

手記:

外部ユーザーの場合のみ、認証が外部 RADIUS サーバー(eduroam)によって処理されるため、NAC クライアント アクセスの許可または拒否イベントは、他の NAC イベントなしで生成されます。

Client Events Page Showing NAC Client Access Events