Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

APÉNDICE: Autenticación dinámica de cliente mediante la nube de autenticación de Mist

En esta sección, proporcionamos ejemplos de cómo autenticar clientes cableados mediante Juniper Mist Access Assurance y cómo puede repetir las pruebas realizadas en este JVD. En primer lugar, asegúrese de que la plantilla de conmutador use "Mist Auth" en el campo de servidores de autenticación, como se muestra en la figura 1.

A continuación, debe crear las etiquetas de directiva de autorización RADIUS en la página Etiquetas de directiva de organización > autenticación .

Figura 1: Ubicación de las etiquetas de la política de autorización A screenshot of a computer Description automatically generated

Cree etiquetas para al menos tres etiquetas GBP que desee asignar:

  • En primer lugar, cree la nueva etiqueta de directiva de autenticación:
    • Nombre de la etiqueta =Cameras
    • Tipo de etiqueta =AAA Attribute

      Esto se usa para indicar que se usa como un mensaje RADIUS.

    • Red de puertos=GBP Tag
    • Valores de etiqueta GBP=100
    Figura 2: Primera etiqueta First New Auth Policy Label de directiva de autenticación nueva
  • En segundo lugar, cree esta nueva etiqueta de política de autenticación:
    • Nombre de la etiqueta =IT-Department
    • Tipo de etiqueta =AAA Attribute
    • Red de puertos=GBP Tag
    • Valores de etiqueta GBP=200
  • En tercer lugar, cree esta nueva etiqueta de directiva de autenticación:
    • Nombre de la etiqueta =Printers
    • Tipo de etiqueta =AAA Attribute
    • Red de puertos=GBP Tag
    • Valores de etiqueta GBP=300

La configuración resultante de las tres etiquetas debe ser similar a la lista que se muestra en la figura 3.

Figura 3: Etiquetas Auth Policy Labels de política de autenticación

Autenticación de cliente basada en direcciones MAC

Cuando desee utilizar la autenticación de cliente basada en direcciones MAC, asegúrese de que los puertos del conmutador donde están conectados los clientes utilicen el perfil de puerto correcto. En nuestro caso, usamos el perfil de puerto="vlan1099-mac-auth" y configuramos los puertos del conmutador como se muestra en la Figura 4. Utilice identificadores de puerto adecuados para su entorno.

Figura 4: Perfil de puerto para la autenticación Port Profile for MAC Address-Based Client Authentication de cliente basada en direcciones MAC

A continuación, cree etiquetas de autenticación para identificar las direcciones MAC de los clientes cableados, como se muestra en el ejemplo siguiente:

  • Cree una nueva etiqueta de autenticación:
    • Nombre de la etiqueta =MACclient1
    • Label Type=Client List ya que se utiliza para validar direcciones MAC.
    • Valores de etiqueta=<client1-MAC-Address>

Cree otras etiquetas de autenticación basadas en el ejemplo anterior para al menos 3 clientes basados en direcciones MAC. Un ejemplo del resultado se muestra en la Figura 5.

Figura 5: Ejemplo de lista Example Auth Policy Label List de etiquetas de política de autenticación

A continuación, debe crear varias directivas de autenticación en la página Directivas de autenticación > de la organización .

Figura 6: Ubicación de Authentication Policies Location las directivas de autenticación

En el siguiente ejemplo, queremos que a cada cliente se le asigne la etiqueta GBP1 (nuestras "impresoras"). Por lo tanto, la configuración es similar a la siguiente:

  • Política de autenticación para el primer cliente:
    • Nombre=Client1
    • CriteriosMACclient1 de coincidencia= y MAB y Wired
    • Política=Pass
    • Políticas asignadas=Network Access Allowed y Cameras
  • Política de autenticación para el segundo cliente:
    • Nombre=Client2
    • CriteriosMACclient2 de coincidencia= y MAB y Wired
    • Política=Pass
    • Políticas asignadas=Network Access Allowed y Cameras
  • Política de autenticación para el tercer cliente:
    • Nombre=Client3
    • CriteriosMACclient3 de coincidencia= y MAB y Wired
    • Política=Pass
    • Políticas asignadas=Network Access Allowed y Cameras
Figura 7: Ejemplo de lista Example Auth Policies List de directivas de autenticación

Hemos optado por definir una política de autenticación por cliente, ya que puede cambiar la directiva asignada para cada cliente individualmente para asignarla y probarla con una etiqueta GBP diferente.

Nota:

Cuando se prueba la autenticación dinámica basada en direcciones MAC, hay un tiempo predeterminado de 10 minutos antes de que ocurra una nueva autenticación. Cuando cambie las etiquetas para probar otras combinaciones, 10 minutos pueden ser demasiado largos para esperar. En una situación de laboratorio, puede usar la función adicional de la CLI de Junos OS para acortar el período de reautenticación. Por ejemplo, para establecer un período de reautenticación de 60 segundos, utilice la siguiente CLI de Junos OS adicional: set protocols dot1x authenticator interface vlan1099-mac-auth reauthentication 60.

Una vez que Juniper Mist Access Assurance haya autenticado a sus clientes, puede comprobar la asignación de la etiqueta GBP. Para ello, vaya a Clientes > clientes cableados en el portal de Juniper Mist.

Figura 8: Ubicación Wired Clients Location de los clientes cableados

Identifique los clientes cableados que ha configurado y haga clic en Wired Client Insights.

Figura 9: Lista de Wired Client List clientes cableados

A continuación se muestra un ejemplo del primer informe de eventos de cliente. Puede ver a través de qué interfaz se conectó el nuevo cliente:

Figura 10: Lista de eventos de clientes cableados: autenticación de Wired Client Events List – User Authentication usuario

El segundo evento que normalmente vería es la autenticación NAC en sí. A continuación, puede ver el tipo de autenticación, la regla de autenticación que se consideró válida para ser utilizada y la etiqueta GBP final que se aplicó como parte de la autenticación dinámica:

Figura 11: Lista de eventos de clientes cableados: acceso de cliente NAC permitido A screenshot of a computer Description automatically generated

Autenticación de cliente basada en IEEE 802.1X

Cuando desee utilizar la autenticación de cliente basada en IEEE 802.1X, asegúrese de que los puertos del conmutador donde están conectados los clientes utilicen el perfil de puerto correcto. En nuestro caso, utilizamos el perfil de puerto, "vlan1099-eap-auth" y configuramos los puertos del switch como se muestra en el siguiente ejemplo. Utilice identificadores de puerto adecuados para su entorno.

Figura 12: Configuración de puertos para la autenticación de cliente basada en 802.1x A screenshot of a computer Description automatically generated

Al realizar las pruebas, queríamos poder identificar un mínimo de tres clientes individualmente para poder asignarles diferentes etiquetas GBP de forma dinámica. El enfoque elegido fue utilizar EAP-TLS y determinar el cliente individual por atributos de sus certificados de cliente almacenados en cada suplicante. Los valores que elija dependerán de la PKI empresarial que desee usar. En nuestro caso, sabíamos que cada cliente tiene un nombre diferente en el atributo Nombre común del certificado suplicante. Por lo tanto, utilizamos este campo para crear tres etiquetas de cliente, como se muestra en el siguiente ejemplo:

  • Para crear una nueva etiqueta de directiva de autenticación, vaya a Etiqueta de autenticación > de organización y configure los campos como se muestra en la lista siguiente:
    • Nombre de la etiqueta =TLSclient1
    • Tipo de etiqueta =Certificate Attribute
    • Valores de etiqueta=Common Name (CN)
    • Nombres comunes valores=user01@example.net
Figura 13: Ejemplo de etiqueta de directiva de autenticación para autenticación Example Auth Policy Label for EAP-TLS Authentication EAP-TLS
  • Cree otras etiquetas basadas en el ejemplo anterior para al menos tres clientes TLS, como se muestra en la figura 14.
Figura 14: Ejemplo de lista de etiquetas de política de autenticación EAP-TLS Example EAP-TLS Authentication Policy Label List

A continuación, cree varias directivas de autenticación en la página Directivas de autenticación > de la organización :

En el siguiente ejemplo, queremos que cada cliente tenga asignada la etiqueta GBP1 (nuestro Printers ). Por lo tanto, la configuración es similar a la siguiente:

  • Política de autenticación para el primer cliente:
    • Nombre=Client1
    • CriteriosTLSclient1 de coincidencia= y EAP-TLS y Wired
    • Política=Pass
    • Políticas asignadas=Network Access Allowed y Cameras
  • Política de autenticación para el segundo cliente:
    • Nombre=Client2
    • CriteriosTLSclient2 de coincidencia= y EAP-TLS y Wired
    • Política=Pass
    • Políticas asignadas=Network Access Allowed y Cameras
  • Política de autenticación para el tercer cliente:
    • Nombre=Client3
    • CriteriosTLSclient3 de coincidencia= y EAP-TLS y Wired
    • Política=Pass
    • Políticas asignadas=Network Access Allowed y Cameras
Figura 15: Ejemplo de lista de directivas de autenticación EAP-TLS Example EAP-TLS Authentication Policies List

En este punto, si aún no lo ha hecho, debe configurar su PKI empresarial para la nube de autenticación de Juniper Mist:

  • Vaya a Certificados > de la organización
Figura 16: Ubicación de los certificados en la GUI Certificates Location in Mist GUI de Mist
  • Haga clic en el botón Agregar entidad emisora de certificados como se muestra en la figura 17.
Figura 17: Agregar entidad de certificación Add Certificate Authority
  • Pegue la parte codificada en base64 de la CA raíz de PKI empresarial en la ventana Certificado firmado .
Figura 18: Ventana Signed Certificate Window de certificados firmados

El resultado debería verse así:

  • Ahora, haga clic en Importar certificado de servidor RADIUS personalizado:

  • Aplique la siguiente configuración:
    • Pegue el contenido de la parte codificada en base64 de la clave de certificado del servidor PKI RADIUS empresarial en el campo Clave privada .
    • En función de la PKI de su empresa, es posible que el certificado de servidor RADIUS necesite una contraseña para abrir la clave cifrada. Si ese es el caso, proporcione esta información aquí.
    • Pegue el contenido de la parte codificada en base64 del certificado público del servidor PKI RADIUS empresarial en el campo Certificado firmado .
  • Confirme la información en los campos de propiedad rellenados:
    • El nombre común debe ser un FQDN de DNS.
    • Uso extendido de claves = autenticación del servidor web TLS
Figura 19: Ejemplo de campos de certificado de servidor RADIUS personalizados de importación completados Example of Filled-in Import Custom RADIUS Server Certificate Fields
  • Haga clic en Guardar.

Ahora, puede comenzar a autenticar sus clientes EAP-TLS.

Una vez que Juniper Mist Access Assurance haya autenticado a sus clientes, puede comprobar la asignación de la etiqueta GBP. Para ello, vaya a Clientes > Clientes cableados.

Identifique el cliente cableado que ha configurado y haga clic en Wired Client Insights:

Primero, verifique el certificado del servidor RADIUS:

A continuación, verá la información sobre el certificado de cliente del suplicante que el servidor RADIUS comprobó para su validación. Aquí, es importante revisar los atributos del certificado porque los usamos para identificar a un solo cliente.

A continuación, verá la decisión del sistema NAC de permitir el acceso a la red para este cliente y qué regla lo permitió. La etiqueta GBP asignada también se puede revisar: