セキュアなユーザー認証のためにJuniper Mist™をAruba ClearPass Guest™と統合するには、以下の手順に従います。
™ Juniper Mist、Aruba ClearPass Guestなどのネットワーク・アクセス管理プラットフォームとシームレスに統合でき、ネットワーク上のゲスト・ユーザー向けに広範なアクセス・コントロール・カスタマイズ・オプションを活用できます。
Juniper Mist™をAruba ClearPass Guestと統合するには:
- Aruba ClearPass Policy Managerの管理コンソールに移動し、Mistアクセスポイント(AP)の認証変更(CoA)プロファイルを作成します。
- [Cisco – Reauthenticate-Session] プロファイルを見つけて選択し、[コピー] します。
- そのプロファイルの新しいコピーを編集します。名前を [Mist - Reauthenticate-Session] に変更します。
- Mist CoAプロファイルに以下の属性を設定します。
表 1: 表 1:
| 種類 |
名前 |
価値 |
| Radius:IETF |
CallingStation-ID |
%{radius:IETF:Calling-Station:Id} |
| Radius:Cisco |
Cisco-AVPair |
subscriber:command=reauthenticate |
| Radius:IETF |
NAS-IPアドレス |
%{radius:IETF:NAS-IPアドレス} |
| Radius:IETF |
イベントタイムスタンプ |
%{Authorization:[タイムソース]:現在} |
- デフォルトのセルフ登録 Web ページ テンプレートを複製して、ClearPass Guest Manager にゲスト登録ページを作成します。ヘルプが必要な場合は、アカウント登録カスタマイズフォームへのアクセスなど、Arubaサポートサイトのリソースにアクセスしてください。
- 自己登録インスタンスの場合は、「自己登録を有効にする」を選択し、変更を保存します。
- スポンサードゲストワークフローを有効にするため、スポンサー確認を有効にします。
- ログインの遅延を設定すると、ClearPassがCoAをMist APに送り返し、新しく登録されたゲストクライアントを再認証する時間が与えられます。ログインの遅延を 10 秒に設定します (これより低いと、ClearPass の動作に一貫性がなくなる可能性があります)。次に、変更を保存します。ヘルプが必要な場合は、アカウント登録ページの編集など、Arubaサポートサイトのリソースにアクセスしてください。
- NASベンダー設定を以下のように構成します。
-
[有効(Enabled)]:ネットワーク アクセス サーバへのゲスト ログインを有効にします
-
[デフォルト URL(Default URL)]: http://www.mist.com と入力します。
-
[宛先の上書き(Override Destination)]: すべてのクライアントに対して [デフォルトの宛先を強制する(Force Default Destination for all clients)] を選択します。
- MAC キャッシュを使用してゲスト アクセス構成を作成し、タブ間を移動して次のように設定を構成します。
-
[名前プレフィックス(Name Prefix)]:Mist
-
無線 SSID:ゲストアクセス
-
コントローラIP アドレス—Mist APの管理IPサブネットを追加して、RADIUS経由でClearPassと通信できるようにします。
-
必要に応じて、ゲストの種類ごとにデフォルトの有効期限を設定します。
-
[フィルター ID ベースの適用] を選択し、ゲスト ロール名を指定します。
ヘルプが必要な場合は、Arubaサポートサイトの「
Guest Authentication with MAC Caching Service Template」などのリソースを参照してください。
- [サービスの追加] を選択すると、新しいサービスが追加されたことがわかります。
- 既存の適用プロファイルとポリシーを編集して、Mist APを統合します。ヘルプが必要な場合は、Arubaサポートサイトの「Modifying an Existing Enforcement Profile」などのリソースを参照してください。
- デフォルトの mist キャプティブ ポータル プロファイルを編集し、[属性(Attributes)] タブから次の操作を行います。
また、Mistゲストデバイスプロファイルを編集し、ウィザード中に事前に作成された最後の属性を削除します。
- Mistゲストデバイスプロファイルを編集し、自動的に作成された最後の属性を削除します。
- [Enforcement Policies] に移動し、Mist MAC 認証の適用ポリシーを編集して、不明/未登録のクライアントにリダイレクト URL を送信します。
- ClearPassがホストするキャプティブポータルを介してゲストユーザー認証を処理するための新しい適用ポリシーを作成します。ヘルプが必要な場合は、適用ポリシーの設定など、Arubaサポートサイトのリソースにアクセスしてください。
- [Enforcement Type] を [WEBAUTH] に設定します。
- デフォルト プロファイルを [RADIUS_CoA] [Mist – Reauthenticate Session] に設定します。
- [次へ] をクリックし、ユーザがゲストとして認証されたらクライアント MAC をキャッシュするルールを作成します。ゲスト マネージャーの設定で指定した期間を選択します。
- 変更を保存します。
- 新しいWebAuthサービスを作成します。ご不明な点がございましたら、サービスの追加など、Arubaサポートサイトのリソースにアクセスしてください。
- 「サービス」タブで、次のように構成します。
-
[タイプ(Type)]: [Web認証(Web-Authentication)] を選択します。
-
[その他のオプション] - [ 承認] を選択します。
-
名前に「Mist」を含むゲストページに一致する別の条件を追加します。
-
「 次へ」をクリックします。
- 「認証」タブで、次の操作を行います。
- [Authorization] タブで、次の操作を行います。
- 「ロール」タブで、次の操作を行います。
- 「適用」タブで、次の操作を行います。
-
前の手順で作成した適用ポリシーを選択します。
-
「 保存」をクリックします。
- Juniper Mist ポータルで、WLAN に移動するか、新しい WLAN を作成します。
- ClearPlass で設定したものと同じ SSID を入力します。
- [セキュリティ] セクションで、次の操作を行います。
-
-
[オープン アクセス] を選択します。
-
RADIUSルックアップによるMACアドレス認証を選択します。
-
[Guest Access with Mac Authentication Bypass] を選択します。
[ 許可されたホスト名(Allowed Hostnames )] フィールドに、ゲスト ユーザのリダイレクト先となる ClearPass サーバの FQDN を入力します。また、ユーザーが認証される前に許可する必要がある追加の FQDN も追加します。
- [認証サーバー]セクションで、[サーバーの追加]をクリックし、ClearPassサーバーのIPアドレス、ポート、および共有シークレットを入力し、チェックマークアイコンをクリックして変更を保存します。
- [CoA/DMサーバー]セクションで、[有効]を選択し、[サーバーの追加]をクリックし、ClearPassサーバーのIP アドレス、ポート、および共有シークレットを入力し、チェックマークをクリックして変更を保存します。
- WLAN の設定を保存します。
手記:
WLAN が WLAN テンプレートに含まれている場合は、目的のサイトにテンプレートが適用されていることを確認します。
- Aruba ClearPass Policy Managerのアクセス・トラッカーを参照して、統合が成功したことを確認します。ヘルプが必要な場合は、Aruba サポート サイトのリソース (Live Monitoring: Access Tracker など) にアクセスしてください。
