Juniper Mistを™ Aruba ClearPassゲストと統合してアクセスコントロールを強化
概要 Juniper Mist™をAruba ClearPass Guest™と統合してセキュアなユーザー認証を実現するには、次の手順に従います。
Juniper Mist™は、Aruba ClearPass Guestなどのネットワーク・アクセス管理プラットフォームとシームレスに統合でき、ネットワーク上のゲスト・ユーザー向けに幅広いアクセス・コントロールのカスタマイズ・オプションを利用できます。
Aruba製品の詳細については、Arubaサポートサイトのリソース( ClearPass Guestについてなど)を参照してください。
Juniper Mist™をAruba ClearPass Guestと統合するには、以下を行います。
- Aruba ClearPass Policy Managerの管理コンソールに移動し、Mistアクセスポイント(AP)の認証変更(CoA)プロファイルを作成します。
手記:
ヘルプについては、Arubaサポートサイトの 「実施プロファイルの構成 」を参照してください。
- [Cisco – Reauthenticate-Session]プロファイルを見つけて選択し、コピーします。
- そのプロファイルの新しいコピーを編集します。[Mist - Reauthenticate-Session]のように名前を変更します。
- Mist CoAプロファイルに以下の属性を設定します。
表 1: 表 1: 種類
名前
価値
半径:IETF
コーリングステーション-ID
%{半径:IETF:Calling-Station:Id}
半径:シスコ
Cisco-AVPair
サブスクライバ:コマンド=再認証
半径:IETF
NAS-IPアドレス
%{Radius:IETF:NAS-IP-Address}
半径:IETF
イベントタイムスタンプ
%{認証:[タイム ソース]:現在}
- デフォルトの自己登録 Web ページ テンプレートを複製して、ClearPass ゲスト マネージャーでゲスト登録ページを作成します。ヘルプが必要な場合は、Arubaサポートサイトのリソース(セルフ登録カスタマイズフォームへのアクセスなど)を参照してください。
- 自己登録インスタンスの場合は、「自己登録を有効にする」を選択し、変更を保存します。
- スポンサー付きゲストワークフローを有効にするため、スポンサー確認を有効にします。
- ログイン遅延を設定すると、ClearPassがCoAをMist APに送り返し、新しく登録されたゲストクライアントを再認証する時間が与えられます。ログイン遅延を 10 秒に設定します (これより小さい値を指定すると、ClearPass との一貫性のない動作が発生する可能性があります)。次に、変更を保存します。ヘルプが必要な場合は、Arubaサポート・サイトの「セルフ登録ページの編集」などのリソースを参照してください。
- NASベンダー設定を次のように構成します。
-
[有効(Enabled)]:ネットワーク アクセス サーバへのゲスト ログインを有効にします。
-
デフォルト URL - 「http://www.mist.com」と入力します。
-
宛先の上書き:すべてのクライアントに対してデフォルトの宛先を強制するを選択します。
ヘルプについては、Arubaサポートサイトのリソース( NASログインプロパティの編集と有効化など)を参照してください。 -
- MAC キャッシングを使用してゲスト アクセス構成を作成し、タブ間を移動して次のように設定を構成します。
-
名前のプレフィックス - Mist
-
無線 SSID - ゲストアクセス
-
コントローラIPアドレス—Mist APの管理IPサブネットを追加して、RADIUSを介してClearPassと通信できるようにします。
-
必要に応じて、ゲストのタイプごとにデフォルトの有効期限を設定します。
-
[フィルター ID ベースの適用] を選択し、ゲスト ロール名を指定します。
-
- [サービスの追加] を選択すると、新しいサービスが追加されたことがわかります。
- Mist APを統合するために、既存の実施プロファイルとポリシーを編集します。ヘルプが必要な場合は、Arubaサポートサイトのリソース(既存の実施プロファイルの変更など)を参照してください。
- デフォルトのmistキャプティブポータルプロファイルを編集し、[属性]タブから:
-
既存のフィルター ID 属性を削除します。
-
新しいurl-redirect 属性を追加して、クライアントのリダイレクト先を AP に知らせます。値を設定する際は、以下の構文に従います。
url-redirect=https:///guest/.php?&mac=%{Connection:Client-Mac-Address-Colon}
-
変更を保存します。
また、Mist ゲストデバイスプロファイルを編集し、ウィザードで事前に作成された最後の属性を削除します。
-
- Mistゲストデバイスプロファイルを編集し、自動的に作成された最後の属性を削除します。
- [適用ポリシー] に移動し、Mist MAC 認証適用ポリシーを編集して、不明または未登録のクライアントにリダイレクト URL を送信します。
-
[適用] タブで、デフォルト プロファイルとして [Mist キャプティブ ポータル プロファイル] を選択します。
-
変更を保存します。
-
- デフォルトのmistキャプティブポータルプロファイルを編集し、[属性]タブから:
- ClearPass がホストするキャプティブ ポータルを介したゲスト ユーザー認証を処理するための新しい適用ポリシーを作成します。ヘルプが必要な場合は、Arubaサポートサイトの「実施ポリシーの構成」などのリソースを参照してください。
- 適用タイプを WEBAUTH に設定します。
- デフォルトのプロファイルを[RADIUS_CoA] [Mist – セッションの再認証]に設定します。
- [次へ] をクリックし、ユーザーがゲストとして認証されたらクライアント MAC をキャッシュするルールを作成します。ゲストマネージャーの設定で指定された期間を選択します。
- 変更を保存します。
- 新しい WebAuth サービスを作成します。ヘルプが必要な場合は、サービスの追加などのArubaサポートサイトのリソースにアクセスしてください。
- [サービス] タブで、次のように構成します。
-
タイプ: [Web 認証] を選択します。
-
その他のオプション - [ 認証] を選択します。
-
名前に「Mist」を含むゲストページに一致する別の条件を追加します。
-
[ 次へ] をクリックします。
-
- [認証] タブで、次の操作を行います。
-
認証ソースに[ゲストユーザーリポジトリ]を選択します。
-
[ 次へ] をクリックします。
-
- [認証] タブで、次の操作を行います。
-
[エンドポイントリポジトリ]と[タイムソース]を追加の認証ソースとして追加します。
-
[ 次へ] をクリックします。
-
- [ロール] タブで、次の操作を行います。
-
ロールマッピングポリシー「MACキャッシングロールマッピングを使用したMistユーザー認証」を選択します。
-
[ 次へ] をクリックします。
-
- [適用] タブで、次の操作を行います。
-
前の手順で作成した適用ポリシーを選択します。
-
「 保存」をクリックします。
-
- [サービス] タブで、次のように構成します。
- Juniper Mistポータルで、WLANに移動するか、新しいWLANを作成します。
手記:
詳細については、次を参照してください :WLANテンプレートを構成する または WLANを追加する。
- クリアプラスで設定したものと同じSSIDを入力します。
- [セキュリティ]セクションで、次の操作を行います。
-
-
[オープンアクセス] を選択します。
-
RADIUSルックアップによるMACアドレス認証を選択します。
-
[ Mac 認証バイパスによるゲスト アクセス] を選択します。
[許可されたホスト名] フィールドに、ゲスト ユーザーのリダイレクト先となる ClearPass サーバーの FQDN を入力します。また、ユーザーが認証される前に許可する必要がある FQDN を追加します。
-
-
- [認証サーバー] セクションで、[サーバーの追加] をクリックし、ClearPass サーバーの IP アドレス、ポート、および共有シークレットを入力し、チェックマーク アイコンをクリックして変更を保存します。
- [CoA/DM サーバー] セクションで、[有効] を選択し、[サーバーの追加] をクリックして、ClearPass サーバーの IP アドレス、ポート、および共有シークレットを入力し、チェックマークをクリックして変更を保存します。
- WLAN設定を保存します。
手記:
WLAN が WLAN テンプレート内にある場合は、目的のサイトにテンプレートが適用されていることを確認します。
- Aruba ClearPass Policy Manager のアクセストラッカーを見て、統合が成功したことを確認します。ヘルプが必要な場合は、Arubaサポートサイトのリソース(ライブモニタリング:アクセストラッカーなど)にアクセスしてください。