MAC 認証バイパスによる RADIUS サーバーを使用したゲスト アクセス
概要 ゲスト アクセスに RADIUS ベースのポータルを活用する場合は、このオプションを有効にします。
まず、MAC 認証バイパス (MAB) を使用した RADIUS サーバーを使用したゲスト アクセスのフローについて理解します。次に、WLANを設定します。最後に、認証ポリシーと認可プロファイルに対して追加のRADIUS設定を行います。
MAC認証バイパスによるRADIUSサーバーを使用したゲストアクセスの流れ
Juniper MistでWLANが作成され、RADIUSルックアップを使用してMABが実行されます。
クライアントがこの WLAN にアソシエートすると、その MAC アドレスがACCESS_REQUESTを使用して RADIUS サーバーに送信されます。
サーバーはデータベースでMACアドレスを探します。
クライアントがデータベース内に見つからない場合、 はリダイレクト URL を含むACCESS_ACCEPTを Juniper Mist AP に送り返し、フローはステップ 4 に進みます。
クライアントがデータベースで見つかった場合、フローはステップ 10 に進みます。
クライアントには、BOOTP、DNS、およびRADIUSサーバーへのアクセスを含む、ネットワークへの制限されたアクセスが提供されます。
クライアントがIPを受信すると、APはWebソケットを開き、クライアントから開始されたHTTPトラフィックをリッスンします。
トラフィックは傍受され、RADIUSサーバーから送信されたリダイレクトURLで応答されます。
クライアントは指定された URL にリダイレクトされます。構成済みのポリシーに基づいて、スポンサード ポータル、自己登録ポータル、またはホットスポット ポータルを指定できます。
クライアントが必要な情報を提供すると、クライアントのMACアドレスがデータベースにインストールされ、クライアントを再認証するためのCoA(Change of Authorization)リクエストが発行されます。
CoA 要求を受信すると、AP は要求を確認し、ステップ 2 と同じACCESS_REQUESTを送り返します。
クライアントはRADIUSサーバーデータベースで使用でき、URL-Redirect の制限なしにACCESS-ACCEPTが提供され、クライアントは構成されたポリシーに基づいてネットワーク接続できます。
WLANの設定
RADIUS 設定
認証フローをサポートするために、RADIUSポリシーとプロファイルを設定します。
認証ポリシー - ユーザーがデータベースに見つからない場合に「続行」するように認証ポリシーを設定します。これにより、クライアントはIPを取得し、リダイレクト状態になります。
承認ポリシー: ゲスト アクセス フローのプロセス中にヒットする 2 つのポリシーを構成します。
最初のポリシーは Wifi_Redirect_to_Guest_Loginで、RADIUS サーバーが要求を受信したときに適用されます。このポリシーは、クライアントへの部分的なアクセスを提供します。(フローのステップ 2 から 3 を参照してください。
2つ目のポリシーは Wifi_Guest_Accessで、CoAリクエストが正常に完了すると適用されます。このポリシーは、クライアントにフルアクセスを提供します。(フローのステップ 9 から 10 を参照してください。
認証プロファイル:次の例に示すように、RADIUS認証ポリシーを設定します。このポリシーは、フローの手順 6 から 7 のリダイレクト URL を提供します。