Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

MAC認証バイパスを備えたRADIUSサーバーを使用したゲストアクセス

ゲストアクセスにRADIUSベースのポータルを利用する場合は、このオプションを有効にします。

まず、MAB(認証バイパス)を備えたRADIUSサーバーを使用したゲストアクセスのフローについて理解します。次に、WLANを設定します。最後に、認証ポリシーと許可プロファイルのRADIUS設定を追加します。

MAC認証バイパスを備えたRADIUSサーバーを使用したゲストアクセスのフロー

  1. WLAN は、RADIUS ルックアップを使用して実行される MAB で Juniper Mist で作成されます。

  2. クライアントがこの WLAN にアソシエートされると、その MAC アドレスが ACCESS_REQUEST を使用して RADIUS サーバーに送信されます。

  3. サーバーは、そのデータベースでMACアドレスを検索します。

    • クライアントがデータベース内に見つからない場合、はリダイレクションURLを含むACCESS_ACCEPTをJuniper Mist APに送り返し、フローはステップ4に進みます。

    • クライアントがデータベースで見つかった場合、フローはステップ 10 に進みます。

  4. クライアントには、BOOTP、DNS、RADIUSサーバーへのアクセスを含む、ネットワークへの制限付きアクセスが提供されます。

  5. クライアントがIPを受信すると、APはWebソケットを開き、クライアントから開始されたHTTPトラフィックをリッスンします。

  6. トラフィックは傍受され、RADIUSサーバーから送信されたリダイレクトURLで応答されます。

  7. クライアントは、指定された URL にリダイレクトされます。構成されたポリシーに基づいて、スポンサー付きポータル、自己登録ポータル、またはホットスポットポータルである可能性があります。

  8. クライアントが必要な情報を入力すると、クライアントのMACアドレスがデータベースにインストールされ、クライアントを再認証するためのCoA(Change of Authorization)リクエストが発行されます。

  9. CoA 要求を受信すると、AP は要求を確認し、ステップ 2 と同じACCESS_REQUESTを送り返します。

  10. クライアントはRADIUSサーバデータベースで使用可能であり、URLリダイレクトの制限なしにACCESS-ACCEPTが提供されており、クライアントは設定されたポリシーに基づいてネットワーク接続を持っています。

WLAN の設定

WLANを作成または編集し、MABを有効にして、RADIUSサーバーを追加します。
  1. MAC 認証バイパスを使用した RADIUS サーバを使用したゲスト アクセスで設定する WLAN を作成するか、WLANに移動します。

    • テンプレートベースの WLAN の場合は、[ Organization > WLAN Templates] に移動し、テンプレートをクリック(またはテンプレートを作成)してから、WLAN をクリックします(または WLAN を追加します)。

    • サイト固有の WLAN を選択するには、[ Site > WLANs] に移動し、WLAN をクリックします(または WLAN を追加します)。

    詳細については、「 WLAN テンプレートの設定」を参照してください。

  2. [WLANの作成/編集(Create/Edit WLAN)] ウィンドウの [セキュリティ(Security)] セクションで、[RADIUS ルックアップによる MAC アドレス認証(MAC address authentication by RADIUS lookup)] と [MAC 認証バイパスを使用したゲスト アクセス(Guest Access with Mac Authentication Bypass)] を選択します。
    MAB Options in the Security Section of the WLAN Settings
  3. (オプション)[許可されたサブネット(Allowed Subnets)] フィールドと [許可されたホスト名(Allowed Hostnames)] フィールドを使用して、リダイレクト状態でゲストがアクセスできるリソースを指定します。
    これらのフィールドを空白のままにすると、ゲストがアクセスできる IP アドレスは RADIUS サーバーのみになります。
  4. WLAN で WPA2/WPA3 エンタープライズ (802.1X) セキュリティを有効にする」の説明に従って、RADIUS サーバーを追加します。
以下の追加の RADIUS 構成タスクを実行します。

RADIUS設定

認証フローをサポートするようにRADIUSポリシーとプロファイルを設定します。

  1. [認証ポリシー(Authentication Policy)]:データベースでユーザが見つからない場合に「続行」する認証ポリシーを設定します。これにより、クライアントは IP を取得し、リダイレクト状態にすることができます。

    RADIUS Authentication Policy

  2. [承認ポリシー(Authorization Policies)]:ゲスト アクセス フローのプロセス中にヒットする 2 つのポリシーを設定します。

    Authorization Policies

    • 最初のポリシーは Wifi_Redirect_to_Guest_Login で、RADIUS サーバーが要求を受信したときに適用されます。このポリシーは、クライアントへの部分的なアクセスを提供します。(フローのステップ 2 から 3 を参照してください。

    • 2つ目のポリシーは Wifi_Guest_Accessで、CoAリクエストが正常に完了した場合に適用されます。このポリシーは、クライアントにフルアクセスを提供します。(フローのステップ 9 から 10 を参照してください。

  3. [Authorization Profile]:次の例に示すように、RADIUS 認証ポリシーを設定します。このポリシーは、フローのステップ 6 から 7 のリダイレクト URL を提供します。

    RADIUS Authorization Profile