Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

MAC 認証バイパスによる RADIUS サーバーを使用したゲスト アクセス

概要 ゲスト アクセスに RADIUS ベースのポータルを活用する場合は、このオプションを有効にします。

まず、MAC 認証バイパス (MAB) を使用した RADIUS サーバーを使用したゲスト アクセスのフローについて理解します。次に、WLANを設定します。最後に、認証ポリシーと認可プロファイルに対して追加のRADIUS設定を行います。

MAC認証バイパスによるRADIUSサーバーを使用したゲストアクセスの流れ

  1. Juniper MistでWLANが作成され、RADIUSルックアップを使用してMABが実行されます。

  2. クライアントがこの WLAN にアソシエートすると、その MAC アドレスがACCESS_REQUESTを使用して RADIUS サーバーに送信されます。

  3. サーバーはデータベースでMACアドレスを探します。

    • クライアントがデータベース内に見つからない場合、 はリダイレクト URL を含むACCESS_ACCEPTを Juniper Mist AP に送り返し、フローはステップ 4 に進みます。

    • クライアントがデータベースで見つかった場合、フローはステップ 10 に進みます。

  4. クライアントには、BOOTP、DNS、およびRADIUSサーバーへのアクセスを含む、ネットワークへの制限されたアクセスが提供されます。

  5. クライアントがIPを受信すると、APはWebソケットを開き、クライアントから開始されたHTTPトラフィックをリッスンします。

  6. トラフィックは傍受され、RADIUSサーバーから送信されたリダイレクトURLで応答されます。

  7. クライアントは指定された URL にリダイレクトされます。構成済みのポリシーに基づいて、スポンサード ポータル、自己登録ポータル、またはホットスポット ポータルを指定できます。

  8. クライアントが必要な情報を提供すると、クライアントのMACアドレスがデータベースにインストールされ、クライアントを再認証するためのCoA(Change of Authorization)リクエストが発行されます。

  9. CoA 要求を受信すると、AP は要求を確認し、ステップ 2 と同じACCESS_REQUESTを送り返します。

  10. クライアントはRADIUSサーバーデータベースで使用でき、URL-Redirect の制限なしにACCESS-ACCEPTが提供され、クライアントは構成されたポリシーに基づいてネットワーク接続できます。

WLANの設定

WLANを作成または編集し、MABを有効にして、RADIUSサーバーを追加します。
  1. MAC 認証バイパスを使用した RADIUS サーバを使用して、ゲスト アクセスで設定する WLAN を作成するか、そこに移動します。
    • テンプレートベースの WLAN の場合は、[ 組織 > WLAN テンプレート] に移動し、テンプレートをクリック(またはテンプレートを作成)してから、WLANをクリック(またはWLANを追加)します。

    • サイト固有の WLAN を選択するには、[ サイト > WLAN ] に移動し、WLAN をクリック (または WLAN を追加) します。

    詳細については、次を参照してください: WLAN テンプレートを構成する

  2. [WLANの作成/編集]ウィンドウの[セキュリティ]セクションで、[RADIUSルックアップによるMACアドレス認証]と[Mac認証バイパスを使用したゲストアクセス]を選択します。
    MAB Options in the Security Section of the WLAN Settings
  3. (オプション)[許可されたサブネット] フィールドと [許可されたホスト名] フィールドを使用して、ゲストがリダイレクト状態でアクセスできるリソースを指定します。
    これらのフィールドを空白のままにすると、ゲストがアクセスできる IP アドレスは RADIUS サーバーのみです。
  4. WLAN で WPA2/WPA3 エンタープライズ (802.1X) セキュリティを有効にする」の説明に従って、RADIUS サーバーを追加します。
以下の追加のRADIUS設定タスクを実行します。

RADIUS 設定

認証フローをサポートするために、RADIUSポリシーとプロファイルを設定します。

  1. 認証ポリシー - ユーザーがデータベースに見つからない場合に「続行」するように認証ポリシーを設定します。これにより、クライアントはIPを取得し、リダイレクト状態になります。

    RADIUS Authentication Policy
  2. 承認ポリシー: ゲスト アクセス フローのプロセス中にヒットする 2 つのポリシーを構成します。

    Authorization Policies

    • 最初のポリシーは Wifi_Redirect_to_Guest_Loginで、RADIUS サーバーが要求を受信したときに適用されます。このポリシーは、クライアントへの部分的なアクセスを提供します。(フローのステップ 2 から 3 を参照してください。

    • 2つ目のポリシーは Wifi_Guest_Accessで、CoAリクエストが正常に完了すると適用されます。このポリシーは、クライアントにフルアクセスを提供します。(フローのステップ 9 から 10 を参照してください。

  3. 認証プロファイル:次の例に示すように、RADIUS認証ポリシーを設定します。このポリシーは、フローの手順 6 から 7 のリダイレクト URL を提供します。

    RADIUS Authorization Profile