このページの目次
導入事例:Mist Edge Proxy for Eduroam
概要 このeduroamのユースケースは、Mist EdgeをIdPプロキシとして使用する方法を示しています。
概要
このユースケースでは、Mist EdgeをRADIUSプロキシとして動作させることで、Juniper Mist Access Assuranceをeduroam NRO(国内ローミング事業者)と統合する方法を示しています。Mist Edgeは、eduroam管理ポータルでRADIUSクライアントとして登録できるように、静的パブリックIPまたはNAT IPが割り当てられたeduroam RADIUSサーバーへのゲートウェイとして機能します。
Mist Edge プロキシは、特に eduroam SP および IdP 認証フローで使用されます。ホーム ユーザーの認証には影響しません。
次のコールフローは、eduroam networksの3種類のユーザーと、それぞれのタイプがMist Access AssuranceとMist Edgeプロキシを介してどのように認証されるかを示しています:キャンパス内のホームユーザー、キャンパス内の外部訪問者(SP)、およびホームローミングユーザー(IdP)。
ホームユーザー
ホームユーザーとは、自分の大学キャンパスでeduroam SSIDに接続しているクライアントです。たとえば、 @university1.edu アカウントを持つユーザーが現在第 1 大学にいます。このユーザーは「ホーム」レルム上にいます。これは、この大学で毎日行われるほとんどの認証の一般的なシナリオです。
このシナリオでは、Mist Edge プロキシは必要ありません。ユーザーはMist Access Assuranceで直接認証されます。
外部訪問者
外部訪問者とは、他の機関から大学のキャンパスを訪問するクライアントのことです。たとえば、 @university2.edu アカウントを持つユーザーが現在 Univristy 1 にアクセスしているとします。このユーザーは、「ホーム」レルムではないレルムによって識別されます。
このシナリオでは、Mist Edge プロキシ IDP が認証要求を eduroam RADIUS サーバー経由で university2.edu に転送する必要があります。外部の訪問者は、Mist Edgeプロキシを介して認証します。ここで、Mist Edgeは、eduroamの国内RADIUSサーバーに向けて認証要求をプロキシします。
ホーム ローミング ユーザー
ホームローミングユーザーは、別のインスティテューションを訪問していて、ホーム大学の資格情報を使用してeduroam SSIDに認証したいクライアントです。
この例では、 @university1.edu アカウントを持つユーザーが 2 大学を訪問しています。認証要求は、eduroam RADIUSサーバーを介して university2.edu から university1.edu に向けて送信されています。eduroam国内RADIUSサーバーからのRADIUSアクセスリクエストは、Mist Edgeプロキシで受信され、認証のためにMist Access Assuranceサービスに転送されます。
ファイアウォールの要件
Mist Edge uses Out Of Band Management interface (OOBM) for all its proxy functionalities. It is possible to either assign a public IP address to the OOBM interface or place it behind NAT firewall.
The following ports and destinations must be allowed:
-
Inbound (towards Mist Edge OOBM interface)
-
RADIUS Auth & Acct (1812 / 1813 UDP) – you could limit source IPs to eduroam national RADIUS servers
-
RadSec (2083 TCP) – you could limit source IPs based on the following document.
-
-
Outbound (from Mist Edge OOBM interface):
-
RADIUS Auth & Acct (1812 / 1813 UDP)
-
RadSec (2083 TCP) towards radsec.nac.mist.com
-
HTTPS (443 TCP) towards ep-terminator.<mist_cloud_env>.mist.com (more on correct endpoint for your cloud environment in this document).
-
- Mist Access Assurance only supports EAP-TLS, TEAP or EAP-TTLS methods for home users and home roaming users.
- For external visitors any EAP method is supported, including PEAP-MSCHAPv2. EAP method support is determined by an external institution RADIUS servers.
- Dedicated Mist Edge(s) are a must for the IDP proxy functionality.
- For proxy service redundancy multiple Mist Edges can be used as part of the same Mist Edge cluster.
Juniper Mistを設定する
Eduroamを設定する
Eduroam管理コンソールで、Mist Edgesを追加します。eduroam NROによっては、管理コンソールの外観が異なる場合がありますが、全体的な統合ポイントは同じままです。
eduroamホットスポットRADIUSサーバー
eduroam IdP レルム
検証
設定を確認するには、[クライアント インサイト] ページまたは [認証ポリシー] ページの [NAC イベント] でイベントを確認します。
外部ユーザーの場合のみ、認証が外部 RADIUS サーバー(eduroam)によって処理されるため、NAC クライアント アクセスの許可または拒否イベントは、他の NAC イベントなしで生成されます。