Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

MAC認証バイパスを使用したRADIUSサーバーを使用したゲストアクセス

ゲストアクセスにRADIUSベースのポータルを利用する場合は、このオプションを有効にします。

まず、MAB(MAC認証バイパス)を備えたRADIUSサーバーを使用したゲストアクセスのフローについて理解します。次に、WLANを設定します。最後に、認証ポリシーと認証プロファイルの追加のRADIUS設定を行います。

MAC認証バイパスを使用したRADIUSサーバーを使用したゲストアクセスのフロー

  1. WLANはジュニパーMistで作成され、MABはRADIUSルックアップを使用して実行されます。

  2. クライアントがこのWLANに関連付けると、そのMACアドレスがACCESS_REQUESTを使用してRADIUSサーバーに送信されます。

  3. サーバーはデータベースで MACアドレスを探します。

    • クライアントがデータベースに見つからない場合、はリダイレクトURLを含むACCESS_ACCEPTをジュニパー Mist APに送り返し、フローはステップ4に進みます。

    • クライアントがデータベースに見つかった場合、フローはステップ 10 に進みます。

  4. クライアントには、BOOTP、DNS、RADIUSサーバーへのアクセスを含むネットワークへのアクセスが制限されます。

  5. クライアントがIPを受信した後、APはWebソケットを開き、クライアントから開始されたHTTPトラフィックをリッスンします。

  6. トラフィックは傍受され、RADIUSサーバーから送信されたリダイレクトURLで応答されます。

  7. クライアントは指定されたURLにリダイレクトされます。設定したポリシーに基づいて、スポンサー付きポータル、自己登録ポータル、またはホットスポットポータルである可能性があります。

  8. クライアントが必要な情報を提供すると、クライアントの MACアドレスがデータベースにインストールされ、クライアントを再認証するためのCoA(Change of Authorization)リクエストが発行されます。

  9. CoA リクエストを受信すると、AP はリクエストを確認し、ステップ 2 と同じACCESS_REQUESTを送り返します。

  10. クライアントは RADIUS サーバー データベースで使用でき、URL リダイレクトの制限なしに ACCESS-ACCEPT が提供され、クライアントは設定済みのポリシーに基づいてネットワークに接続できます。

WLAN設定

WLANを作成または編集し、MABを有効にして、RADIUSサーバーを追加します。
  1. MAC認証バイパスを使用したRADIUSサーバーを使用して、ゲストアクセスで設定するWLANを作成するか、ナビゲートします。

    • テンプレートベースのWLANの場合は、組織>WLANテンプレートに移動し、テンプレートをクリックし(またはテンプレートを作成し)、WLANをクリックします(またはWLANを追加します)。

    • サイト固有のWLANを選択するには、[ サイト > WLAN] に移動し、WLANをクリックします(またはWLANを追加します)。

    詳細については、「 WLANテンプレートの設定」を参照してください。

  2. WLANの作成/編集ウィンドウのセキュリティセクションで、RADIUSルックアップによるMACアドレス認証とMac認証バイパスによるゲストアクセスを選択します。
    MAB Options in the Security Section of the WLAN Settings
  3. (オプション)許可されたサブネットフィールドと許可されたホスト名フィールドを使用して、リダイレクト状態でゲストがアクセスできるリソースを指定します。
    これらのフィールドを空白のままにすると、ゲストがアクセスできる唯一のIPアドレスはRADIUSサーバーです。
  4. WLANでWPA2/WPA3エンタープライズ(802.1X)セキュリティを有効にするの説明に従って、RADIUSサーバーを追加します。
以下の追加のRADIUS設定タスクを完了します。

RADIUSの設定

認証フローをサポートするようにRADIUSポリシーとプロファイルを設定します。

  1. 認証ポリシー—データベースにユーザーが見つからない場合に「続行」するように認証ポリシーを設定します。これにより、クライアントはIPを取得し、リダイレクト状態にすることができます。

    RADIUS Authentication Policy

  2. 承認ポリシー: ゲストアクセスフローのプロセス中にヒットする2つのポリシーを設定します。

    Authorization Policies

    • 最初のポリシーは Wi-Fi_Redirect_to_Guest_Loginで、RADIUSサーバーがリクエストを受信したときに適用されます。このポリシーは、クライアントへの部分的なアクセスを提供します。(フローの手順2-3を参照してください)。

    • 2つ目のポリシーは Wi-Fi_Guest_Accessで、CoAリクエストが正常に完了した時点で適用されます。このポリシーは、クライアントにフルアクセスを提供します。(フローの手順9〜10を参照してください)。

  3. 認証プロファイル: 以下の例に示すように、RADIUS認証ポリシーを設定します。このポリシーは、フローのステップ6〜7のリダイレクトURLを提供します。

    RADIUS Authorization Profile