Caso de uso: Mist Edge Proxy para Eduroam
RESUMEN Este caso de uso de eduroam ilustra cómo usar Mist Edge como proxy de IdP.
Visión general
Este caso de uso muestra cómo puede integrar Juniper Mist Access Assurance con los NRO (operadores de roaming nacional) de eduroam utilizando Mist Edge actuando como un proxy RADIUS. Mist Edge actúa como puerta de enlace a los servidores RADIUS de eduroam con una IP pública estática o IP NAT asignada de forma que pueda registrarse como cliente RADIUS en el portal de administración de eduroam.
Mist Edge Proxy se utiliza en particular con los flujos de autenticación eduroam SP e IdP; No afecta a la autenticación de usuarios domésticos.
Los siguientes flujos de llamadas ilustran tres tipos de usuarios en las redes eduroam y cómo cada tipo se autentica a través de Mist Access Assurance y el proxy de Mist Edge: usuarios domésticos en el campus, visitantes externos en el campus (SP) y usuarios en itinerancia doméstica (IdP).
Usuarios domésticos
Los usuarios domésticos son clientes que se conectan al SSID eduroam en su propio campus universitario. Por ejemplo, un usuario con una cuenta @university1.edu se encuentra actualmente en la Universidad 1. Este usuario está en su reino "hogar". Este es el escenario típico para la mayoría de las autenticaciones que ocurren diariamente en esta universidad.
Este escenario no requiere el proxy de Mist Edge. El usuario se autentica directamente con Mist Access Assurance.
Visitantes externos
Los visitantes externos son clientes que visitan un campus universitario desde otra institución. Por ejemplo, un usuario con una cuenta @university2.edu está visitando actualmente Univeristy 1. Este usuario se identifica por un reino que no es el reino "hogar".
Este escenario requiere que el IDP del proxy de borde de Mist reenvíe las solicitudes de autenticación a university2.edu a través de los servidores RADIUS de eduroam. Los visitantes externos se autentican a través de un proxy Mist Edge, donde Mist Edge solicita autenticación de proxies hacia los servidores RADIUS nacionales eduroam.
Usuarios itinerantes domésticos
Los usuarios itinerantes domésticos son clientes que visitan una institución diferente y desean autenticarse en un SSID eduroam utilizando sus credenciales de la universidad de origen.
En este ejemplo, un usuario con una cuenta @university1.edu visita la Universidad 2. Las solicitudes de autenticación vienen de university2.edu a través de los servidores RADIUS de eduroam hacia university1.edu. Acceso RADIUS: las solicitudes de los servidores RADIUS nacionales de eduroam son recibidas por el proxy de Mist Edge y luego reenviadas al servicio Mist Access Assurance para su autenticación.
Requisitos del firewall
Mist Edge uses Out Of Band Management interface (OOBM) for all its proxy functionalities. It is possible to either assign a public IP address to the OOBM interface or place it behind NAT firewall.
The following ports and destinations must be allowed:
-
Inbound (towards Mist Edge OOBM interface)
-
RADIUS Auth & Acct (1812 / 1813 UDP) – you could limit source IPs to eduroam national RADIUS servers
-
RadSec (2083 TCP) – you could limit source IPs based on the following document.
-
-
Outbound (from Mist Edge OOBM interface):
-
RADIUS Auth & Acct (1812 / 1813 UDP)
-
RadSec (2083 TCP) towards radsec.nac.mist.com
-
HTTPS (443 TCP) towards ep-terminator.<mist_cloud_env>.mist.com (more on correct endpoint for your cloud environment in this document).
-
- Mist Access Assurance only supports EAP-TLS, TEAP or EAP-TTLS methods for home users and home roaming users.
- For external visitors any EAP method is supported, including PEAP-MSCHAPv2. EAP method support is determined by an external institution RADIUS servers.
- Dedicated Mist Edge(s) are a must for the IDP proxy functionality.
- For proxy service redundancy multiple Mist Edges can be used as part of the same Mist Edge cluster.
Configurar Juniper Mist
Configurar Eduroam
En la consola de administración de Eduroam, añade tus Mist Edges. Dependiendo de la NRO de eduroam, la consola de administración puede tener un aspecto diferente, pero los puntos de integración generales seguirán siendo los mismos.
Servidores RADIUS Eduroam Hotspot
eduroam IdP Realms
Verificación
Para comprobar la configuración, compruebe los eventos en la página Client Insights o en Eventos de NAC en la página Auth Policies.
Solo para usuarios externos, se generará un evento de acceso de cliente NAC permitido o denegado sin ningún otro evento NAC, debido al hecho de que la autenticación es manejada por un servidor RADIUS externo (eduroam).