Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Caso de uso: Mist Edge Proxy para Eduroam

RESUMEN Este caso de uso de eduroam ilustra cómo usar Mist Edge como proxy de IdP.

Visión general

Este caso de uso muestra cómo puede integrar Juniper Mist Access Assurance con los NRO (operadores de roaming nacional) de eduroam utilizando Mist Edge actuando como un proxy RADIUS. Mist Edge actúa como puerta de enlace a los servidores RADIUS de eduroam con una IP pública estática o IP NAT asignada de forma que pueda registrarse como cliente RADIUS en el portal de administración de eduroam.

Mist Edge Proxy se utiliza en particular con los flujos de autenticación eduroam SP e IdP; No afecta a la autenticación de usuarios domésticos.

Los siguientes flujos de llamadas ilustran tres tipos de usuarios en las redes eduroam y cómo cada tipo se autentica a través de Mist Access Assurance y el proxy de Mist Edge: usuarios domésticos en el campus, visitantes externos en el campus (SP) y usuarios en itinerancia doméstica (IdP).

Usuarios domésticos

Los usuarios domésticos son clientes que se conectan al SSID eduroam en su propio campus universitario. Por ejemplo, un usuario con una cuenta @university1.edu se encuentra actualmente en la Universidad 1. Este usuario está en su reino "hogar". Este es el escenario típico para la mayoría de las autenticaciones que ocurren diariamente en esta universidad.

Este escenario no requiere el proxy de Mist Edge. El usuario se autentica directamente con Mist Access Assurance.

Call Flow for Home Users

Visitantes externos

Los visitantes externos son clientes que visitan un campus universitario desde otra institución. Por ejemplo, un usuario con una cuenta @university2.edu está visitando actualmente Univeristy 1. Este usuario se identifica por un reino que no es el reino "hogar".

Este escenario requiere que el IDP del proxy de borde de Mist reenvíe las solicitudes de autenticación a university2.edu a través de los servidores RADIUS de eduroam. Los visitantes externos se autentican a través de un proxy Mist Edge, donde Mist Edge solicita autenticación de proxies hacia los servidores RADIUS nacionales eduroam.

Call Flows for External Visitor

Usuarios itinerantes domésticos

Los usuarios itinerantes domésticos son clientes que visitan una institución diferente y desean autenticarse en un SSID eduroam utilizando sus credenciales de la universidad de origen.

En este ejemplo, un usuario con una cuenta @university1.edu visita la Universidad 2. Las solicitudes de autenticación vienen de university2.edu a través de los servidores RADIUS de eduroam hacia university1.edu. Acceso RADIUS: las solicitudes de los servidores RADIUS nacionales de eduroam son recibidas por el proxy de Mist Edge y luego reenviadas al servicio Mist Access Assurance para su autenticación.

Call Flows for Roaming Home Users

Requisitos del firewall

Mist Edge uses Out Of Band Management interface (OOBM) for all its proxy functionalities. It is possible to either assign a public IP address to the OOBM interface or place it behind NAT firewall.

The following ports and destinations must be allowed:

  • Inbound (towards Mist Edge OOBM interface)

    • RADIUS Auth & Acct (1812 / 1813 UDP) – you could limit source IPs to eduroam national RADIUS servers

    • RadSec (2083 TCP) – you could limit source IPs based on the following document.

  • Outbound (from Mist Edge OOBM interface):

    • RADIUS Auth & Acct (1812 / 1813 UDP)

    • RadSec (2083 TCP) towards radsec.nac.mist.com

    • HTTPS (443 TCP) towards ep-terminator.<mist_cloud_env>.mist.com (more on correct endpoint for your cloud environment in this document).

Note:
  • Mist Access Assurance only supports EAP-TLS, TEAP or EAP-TTLS methods for home users and home roaming users.
  • For external visitors any EAP method is supported, including PEAP-MSCHAPv2. EAP method support is determined by an external institution RADIUS servers.
  • Dedicated Mist Edge(s) are a must for the IDP proxy functionality.
  • For proxy service redundancy multiple Mist Edges can be used as part of the same Mist Edge cluster.

Configurar Juniper Mist

Complete estos pasos en el portal de Juniper Mist.
  1. En la página Mist Edges, reclame o registre un Mist Edge y cree un clúster de Mist Edge.
    Para realizar estas tareas, seleccione Mist Edges (Mist Edges ) en el menú izquierdo del portal de Juniper Mist. A continuación, use los botones para Reclamar borde de niebla, Crear borde de niebla y Crear clúster.
  2. En la página Proveedores de identidades, agregue un proveedor de identidad de proxy de Mist Edge.
  3. En la página Políticas de autenticación, configure las reglas para su SSID eduroam.

    En el ejemplo siguiente se muestra un escenario básico. Tanto los usuarios domésticos como los externos están en la red eduroam. Los usuarios externos se colocan en una VLAN invitada, mientras que los usuarios domésticos y domésticos itinerantes se colocan en una VLAN universitaria principal.

    Sample Auth Policy

Configurar Eduroam

En la consola de administración de Eduroam, añade tus Mist Edges. Dependiendo de la NRO de eduroam, la consola de administración puede tener un aspecto diferente, pero los puntos de integración generales seguirán siendo los mismos.

Servidores RADIUS Eduroam Hotspot

Eduroam Admin Console: Hotspot RADIUS Servers Page

eduroam IdP Realms

Eduroam Admin Console: IdP Realms Page

Verificación

Para comprobar la configuración, compruebe los eventos en la página Client Insights o en Eventos de NAC en la página Auth Policies.

Nota:

Solo para usuarios externos, se generará un evento de acceso de cliente NAC permitido o denegado sin ningún otro evento NAC, debido al hecho de que la autenticación es manejada por un servidor RADIUS externo (eduroam).

Client Events Page Showing NAC Client Access Events