Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

RADIUS プロキシ サーバーを構成する

この章では、Juniper Mist™ Edge アプライアンスの リモート認証ダイヤルインユーザーサービス(RADIUS)プロキシ サーバーの設定について説明します。

RADIUS プロキシの概要

Juniper Mist™ネットワークでは、アクセスポイント(AP)をリモート認証ダイヤルインユーザーサービス(RADIUS)Access-Requestメッセージの送信元として使用できます。RADIUS プロキシ機能を使用すると、代わりに Juniper Mist Edge アプライアンスを RADIUS Access-Request メッセージの送信元として使用できます。

次のような大規模な導入シナリオでは、すべてのAPを個々のクライアントとしてRADIUSサーバーに追加することは不可能です。

  • 多数のJuniper Mist APの設置

  • 802.1X認証のSSID(サービスセット識別子)

RADIUS プロキシを設定する場合、AP を個別のクライアントとして追加するのではなく、1 つの IP(RADIUS プロキシ)のみを使用できます。

RADIUS プロキシは、ワイヤレス AP の RADIUS クライアントに対してはサーバーとして、また RADIUS サーバーに対してはクライアントとして機能します。

RADIUS プロキシ サーバーを構成する

Juniper Mist ネットワークで使用する RADIUS プロキシ サーバーを構成する前に、次のことを行う必要があります。

  • Mist Edgeを要求し、OOBM IPとトンネルIPを設定します。

  • Mist トンネルを設定し、クラスタにマッピングMist Edge。

  • RADIUS 認証と Mist トンネルへの転送で WLAN を構成します。

RADIUS プロキシ機能を使用すると、AP を送信元として使用する代わりに、Juniper Mist Edge アプライアンスを RADIUS Access-Request メッセージの送信元として使用することができます。つまり、個々の AP をクライアントとして追加するのではなく、Juniper Mist Edge OOBM IP を許可するように RADIUS サーバを設定する必要があります。または、トンネル IP を送信元として有効にする場合は、トンネル IP を許可するように RADIUS サーバーを構成する必要があります。これらの構成オプションにより、大規模な導入の場合、複数の個別のAPをRADIUSサーバーに追加することを回避できます。

組織レベルでの RADIUS サーバーの設定

デフォルトでは、Juniper Mist Edge アプライアンスは組織レベルのオブジェクトです。すべてのサイトの Juniper Mist アクセス ポイント(AP)は、このオブジェクトでトンネルを形成できます。

ネットワーク階層の組織レベルで RADIUS サーバーを設定するには:

  1. Juniper Mist ポータルで、[Mist Edge > Mist Edge クラスタ (Clusters)] に移動し、クラスタを選択します。
  2. [Radius Proxy](Radiusプロキシ)ウィンドウで、[Enabled]オプションボタンをクリックします。
  3. [ Radius Authentication Servers](RADIUS認証サーバー)の横にある Add server をクリックします。
  4. HostnameShared Secretを入力します。
  5. 青いチェックマークをクリックして、設定を保存します。

    Radius認証サーバーとアカウンティングサーバーは、順序指定リストに含まれています。つまり、最初のサーバーに到達できない場合、RADIUS プロキシはリスト内の次に使用可能なサーバーに要求を転送します。

  6. (オプション)[Enable Key Wrap] チェックボックスをオンにして、キーラップを有効にします。リストから [Radius Authentication Server] を選択し、Key Encryption KeyMessage Authenticator Code Keyを入力します。このアクションにより、キータイプ(ASCIIまたはHexを選択)とキー値の追加フィールドが有効になります。
  7. RADIUSアカウンティングサーバーに対して、ステップ2からステップ6を繰り返します。
  8. (オプション)RADIUS パケット(およびアカウンティング)をトンネル IP として送信元から発信する場合は、[Tunnel IP as Source ] チェックボックスをオンにします。
    手記:

    この場合、 認証、許可、およびアカウンティング(AAA) サーバ上の network-access-server(NAS)クライアントが Juniper Mist Edge のトンネル IP です。それ以外の場合は、OOBM(アウトオブバンド管理)IPになります。
  9. [Save ()] ボタンをクリックして、RADIUS プロキシ設定を Juniper Mist Edge クラスタに保存します。
    必要に応じて、APIを使用してRADIUSサーバーを設定できます。以下は API ペイロードです。

組織レベルでのRADIUSサーバーのWLANアフィニティの設定

無線LAN(WLAN)では、サービスセット識別子(SSID)名に基づいて、展開で異なるRADIUSサーバーを使用します。たとえば、 eduroam という名前のSSIDにはパブリックRADIUSサーバーを使用し、すべての企業SSIDには異なるRADIUSサーバーを使用することができます。Juniper Mist Edgeは、RADIUSプロキシサービスでこの柔軟性を可能にします。このサービスを設定して、RADIUS アクセス(またはアカウンティング)要求を、一意の SSID を持つ特定のネットワーク アクセス コントロール(NAC)サーバーベースのクライアントに転送できます。

RADIUS サーバーの WLAN アフィニティを設定するには、次の手順に従います。

  1. Juniper Mistポータルで、[Mist Edges] に移動します。
  2. [Mist Edge クラスタ (Edges Clusters)] ペインで、既存のクラスタを選択するか、クラスタを作成します。
  3. 組織レベルで RADIUS サーバーを構成する」というタイトルの手順に従って、RADIUS プロキシ サーバーを構成します。
  4. [Radius Proxy] ウィンドウで、[Match SSID] チェックボックスをオンにします。RADIUS認証サーバとRADIUSアカウンティングサーバごとに、新しいSSIDドロップダウンメニューが表示されます。
  5. SSID の下にある [Add](+)をクリックして、この RADIUS サーバーの SSID を 1 つ以上選択します。
    手記:

    ドロップダウン メニューには、802.1x または MAB 認証の SSID のみが表示されます。管理者が異なる RADIUS サーバを使用する場合は、サイト間で一意の SSID 名を設定することを推奨します。
  6. 青いチェックマークをクリックして、サーバー設定を保存します。
  7. (オプション)リスト内の追加のRADIUS認証サーバーに対して、ステップ5とステップ6を繰り返すことができます。
  8. ステップ 5 からステップ 7 を繰り返して、RADIUS アカウンティング サーバの WLAN アフィニティを設定できます。
  9. [保存(Save)] をクリックして、クラスタの RADIUS プロキシ設定を保存します。
    必要に応じて、API を使用して RADIUS サーバーの WLAN アフィニティを設定できます。

    以下は、API と構成を含む BLOB の例です。この設定により、Juniper Mist Edge が RADIUS 関連の設定情報を受信し、RADIUS プロキシ サービスが開始されます。

サイトレベルでのRADIUSプロキシ サーバーの設定

サイトレベルでRADIUSプロキシサーバーを構成する前に、Mistトンネルを構成する必要があります。トンネルをまだ設定していない場合は、設定作業に進む前にここで設定してください。 サイトレベルでのMist Edgeの導入 を参照してください。

レガシー アーキテクチャから移行する場合や、Juniper Mist Edge をホストするのに十分な広さのサイトに移行するには、分散展開が必要です。このような場合は、Juniper Mist Edge アプライアンスをサイトに割り当て、サイトのアクセス ポイント(AP)のトンネリングと RADIUS プロキシ サービスを設定できます。

サイト レベルで RADIUS プロキシ サーバーを構成するには、次の手順に従います。
  1. Juniper Mist ポータルで、 [Organization>サイト構成] に移動し、サイトを選択します。
    サイトのサイト構成ウィンドウが表示されます。
  2. [Radius Proxy](RADIUSプロキシ)ウィンドウで、[Enable]()ボタンをクリックしてRADIUSプロキシサーバーを有効にします。
  3. サーバーの追加」をクリックします。
  4. HostnamePortShared Secretの値を入力して、サーバーの詳細を構成します。
  5. (オプション)「Enable Key Wrap」チェック・ボックスを選択して、キーラップを有効にします。リストから [Radius Authentication Server] を選択し、Key Encryption KeyMessage Authenticator Code Keyを入力します。これにより、キータイプ(ASCIIまたはHexを選択)とキー値の追加フィールドが有効になります。
  6. [オプション] RADIUS パケット(およびアカウンティング)を送信元としてトンネル IP から発信する場合は、[Tunnel IP as Source ] チェックボックスをオンにします。
  7. 青いチェックマークをクリックして、設定を保存します。
  8. RADIUSアカウンティングサーバーに対して、ステップ2からステップ7を繰り返します。
    必要に応じて、APIを使用してサイトレベルでRADIUSサーバーを設定できます。以下は API ペイロードです。

サイト上の RADIUS サーバーの WLAN アフィニティの設定

無線LAN(WLAN)では、サービスセット識別子(SSID)名に基づいて、展開で異なるRADIUSサーバーを使用します。たとえば、展開で、 eduroam SSID という名前の SSID にはパブリック RADIUS サーバーを使用し、すべての企業 SSID には異なる RADIUS サーバーを使用する場合があります。Juniper Mist Edgeは、RADIUSプロキシサービスでこの柔軟性を可能にします。このサービスを設定して、RADIUS アクセス(またはアカウンティング)要求を、一意の SSID を持つ特定のネットワーク アクセス コントロール(NAC)サーバーベースのクライアントに転送できます。

さらに、サイト レベルで Juniper Mist Edge アプライアンスを使用する場合は、そのアプライアンス専用の RADIUS サーバーを構成できます。

サイト エッジで RADIUS サーバーの WLAN アフィニティを設定するには、次の手順に従います。

  1. Juniper Mistポータルで、Organization>サイト構成に移動します。
  2. [サイト] ページで、一覧からサイトを選択します。
  3. WLAN 上の Juniper Mist Edge プロキシの [Radius プロキシ (Radius Proxy)] を有効にします。
    手順を完了するには、 ネットワーク階層の組織レベルでRADIUSサーバーを設定するのステップ3を参照してください。
  4. 設定を完了するには、トンネリングされた WLAN で 802.1x/MAB 認証を有効にし、WLAN 設定で RadSec サーバとして Mist Edge プロキシを選択します。