クラウド支援の認可変更(CoA)の設定

クライアントを認証するためのクラウド支援による認可変更(CoA)を設定します。

CoAのメリット

CoAとは、RADIUSサーバー(RFC)から特定のクライアントをオンデマンドで再承認し、ネットワークポリシーを再割り当てする方法です。無線分野における代表的なCoAユースケースには、次のようなものがあります。

MacAuth:キャプティブポータル認証後にゲストユーザーのクライアントセッションを再承認して、インターネットアクセスを許可するか、現在のゲストセッションがタイムアウトした後にクライアントをキャプティブポータルにリダイレクトします。
802.1X: クライアントデバイスでポスチャアセスメントが完了したら、企業ユーザーのクライアントセッションを再承認して、無制限のネットワークアクセスを許可します。
802.1X/MAB:クライアントデバイスから脅威が検出された場合、クライアントを検疫ポリシー/VLANに移動するようクライアントを再承認します。

Mist Edgeは、Mistクラウドの助けを借りて、CoA/DMを適切なAP/クライアントにリダイレクトします。

高レベルの認証フロー

クライアントはトンネリングされたWLANに接続し、RADIUSユーザー名とパスワードを入力します。または、クライアントがMACアドレス認証で接続するように設定することもできます。
Access-Requestは、Mist Edge Radiusプロキシを介して渡されます。
Access-Challengeが確認されると、RADIUSサーバーはリダイレクトURLを含む最初のAccess-Acceptを送信します。
クライアントはポータルにリダイレクトされ、契約条件に同意します。
RADIUSサーバーがCoAリクエストを送信して、認証レベルを変更します。
Mist EdgeがCoA Ack 応答を送信します。
RADIUSサーバーとMist Edgeは、Access-Request、Access-Challenge、Access-Acceptメッセージの追加ラウンドを交換します。Access-Accept にはリダイレクト URL がありません。

次の例は、RADIUS サーバー(192.168.1.101)と Mist Edge(192.168.1.100)間の RADIUS メッセージのフローを示しています。

図 1: RADIUS メッセージフロー RADIUS Message Flow

ファームウェア要件

アクセスポイントには、ファームウェアバージョン0.14.29091以降が必要です。

構成

クラウド支援CoAを設定するには:

RADIUSサーバーとCoAサーバーを追加します。
1. Mist Edgeクラスタまたはサイト設定に移動します。
  - Mist Edge クラスタに移動するには、左側のメニューから [Mist Edge ( Edges )] を選択し、クラスタをクリックします。その後、次の手順に進みます。
  - サイト設定に移動するには、左側のメニューから [組織 > サイト構成 ] を選択し、サイトを選択します。その後、次の手順に進みます。
2. [Radius Proxy] で、次の設定を入力します。
  - [ 有効] を選択します。
  - [タイプ(Type)]: [外部 RADIUS サーバへのプロキシ(Proxy to External RADIUS Server)] を選択します。
  - [RADIUS 認証サーバー(RADIUS Authentication Servers)]:[ サーバーの追加(Add Server)] をクリックし、[ ホスト名(Hostname )] と [共有シークレット(Shared Secret)] を入力して、[新しいサーバー(New Server)] 領域の上部にあるチェックマークをクリックします。必要に応じて、追加のサーバーに対して繰り返します。
  - [RADIUS アカウンティングサーバ(RADIUS Accounting Servers)]:[ サーバの追加(Add Server)] をクリックし、[ ホスト名(Hostname )] と [共有シークレット(Shared Secret)] を入力して、[新しいサーバ(New Server)] 領域の上部にあるチェックマークをクリックします。必要に応じて、追加のサーバーに対して繰り返します。
  - [マルチサーバモード(Multi Server Mode)]:[ フェールオーバー(Failover)] を選択します。
  - [送信元としてのトンネル IP(Tunnel IP as Source)]:要求を Tunterm IP から送信する場合は、このチェックボックスをオンにします。それ以外の場合は、アウトオブバウンドインターフェイスから送信されます。
3. [CoA/DM Server] で、次の設定を入力します。
  - [ 有効] を選択します。
  - [サーバー(Servers)]:[ サーバーの追加(Add Server)] をクリックし、[ IP アドレス(IP アドレス)] と [ 共有シークレット(Shared Secret)] を入力して、[新しいサーバー(New Server)] 領域の上部にあるチェックマークをクリックします。必要に応じて、追加のサーバーに対して繰り返します。
  - event-timestamp - [必須] をクリックします。
4. 設定を保存します。
このCoAサーバを認証に使用するWLANを設定します。
1. サイト WLAN または WLAN テンプレートを作成または編集します。
  - [Site]:左側のメニューから [Site > Wireless > WLANs ] を選択し、WLAN を選択または追加します。
  - WLAN テンプレート - 左側のメニューから [ Organization > Wireless > WLAN Templates ] を選択し、テンプレートを選択または作成してから、WLAN を選択または追加します。
2. [セキュリティ] で、サポートされている構成を選択します。
  - RADIUSルックアップによるMACアドレス認証を用いたオープンアクセスセキュリティタイプ
  - RADIUSルックアップによるMACアドレス認証を使用したOWEセキュリティタイプ
  - RADIUSルックアップによるMACアドレス認証とOWE Transitionの有効化を使用したOWEセキュリティタイプ
  - WPA2 とエンタープライズ (802.1x) および 使用可能な高速ローミングオプションのいずれか (デフォルト、OKC、または .11r)
  - WPA3 とエンタープライズ (802.1x) および 使用可能な高速ローミングオプションのいずれか (デフォルト、OKC、または .11r)
  - [WPA3 with Enterprise (802.1x)]、[ WPA3+WPA2 移行を有効にする]、 および 使用可能な高速ローミングオプションのいずれか (デフォルト、OKC、または .11r)
  手記：
  MACアドレス認証を使用する場合は、許可されるサブネットを入力します。ホスト名に 「coa.local」と入力します。
3. [Authentication Servers]で[Mist Edge Proxy]を選択し、[Enable CoA]を選択します。
4. [VLAN] で [タグ] を選択し、VLAN ID を入力します。
5. [Custom Forwarding]でチェックボックスを選択し、Mist Edgeに適したオプションを選択します。
  - 組織レベルのMist Edgeがある場合は、 [Mistへのカスタム転送] を選択し、その下にある [CoA-トンネル ] を選択します。
  - サイトレベルの Mist Edge がある場合は、[ Site Edge へのカスタム転送 (Custom Forwarding to Site Edge)] を選択します。
6. WLAN の設定を保存します。