Caso de uso: Proxy de Mist Edge para Eduroam

Visión general

Este caso de uso muestra cómo se puede integrar Juniper Mist Access Assurance con los NRO (operadores nacionales de roaming) de eduroam mediante el uso de Mist Edge, que actúa como proxy de RADIUS. Mist Edge actúa como una puerta de enlace a los servidores eduroam RADIUS con una IP pública estática o IP TDR asignada de tal manera que se pueda registrar como cliente RADIUS en el portal de administración de eduroam.

El proxy de Mist Edge se utiliza en particular con los flujos de autenticación de eduroam SP e IdP; No afecta a la autenticación de usuarios domésticos.

Los siguientes flujos de llamadas ilustran tres tipos de usuarios en redes eduroam y cómo cada tipo se autentica a través de Mist Access Assurance y el proxy de Mist Edge: usuarios domésticos en el campus, visitantes externos en el campus (SP) y usuarios de roaming doméstico (IdP).

Usuarios domésticos
Visitantes externos
Usuarios de roaming doméstico

Usuarios domésticos

Los usuarios domésticos son clientes que se conectan al SSID de eduroam en su propio campus universitario. Por ejemplo, un usuario con una cuenta @university1.edu está actualmente en la Universidad 1. Este usuario está en su reino de "inicio". Este es el escenario típico de la mayoría de las autenticaciones que ocurren a diario en esta universidad.

Este escenario no requiere el proxy de Mist Edge. El usuario se autentica directamente con Mist Access Assurance.

Visitantes externos

Los visitantes externos son clientes que visitan un campus universitario desde otra institución. Por ejemplo, un usuario con una cuenta @university2.edu está visitando la Universidad 1. Este usuario se identifica mediante un reino que no es el reino de "inicio".

Este escenario requiere Mist Edge DPI de proxy para reenviar solicitudes de autenticación a university2.edu a través de servidores RADIUS eduroam. Los visitantes externos se autentican a través de un proxy de Mist Edge, donde Mist Edge envía las solicitudes de autenticación de los proxies hacia los servidores de eduroam National RADIUS.

Usuarios de roaming doméstico

Los usuarios de Home roaming son clientes que visitan una institución diferente y desean autenticarse en un SSID de eduroam mediante el uso de sus credenciales de la universidad de origen.

En este ejemplo, un usuario con una cuenta @university1.edu está visitando la Universidad 2. Las solicitudes de autenticación provienen de university2.edu a través de servidores de RADIUS eduroam hacia university1.edu. Acceso a RADIUS Las solicitudes de los servidores nacionales de RADIUS de eduroam son recibidas por el proxy de Mist Edge y luego reenviadas al servicio de Mist Access Assurance para su autenticación.

Requisitos de firewall

Mist Edge uses Out Of Band Management interface (OOBM) for all its proxy functionalities. You need to ensure that traffic can flow to and from the Mist Edge OOBM interface.

Network architecture diagram showing connectivity to eduroam via Mist Access Assurance, Access Point, Mist Edge, RadSec, and RADIUS protocols for secure Wi-Fi access.

Allow the following ports and destinations:

Inbound (towards Mist Edge OOBM interface)
- RADIUS Auth & Acct (1812 / 1813 UDP). You can limit source IPs to eduroam national RADIUS servers.
- RadSec (2083 TCP). You can limit source IPs based on the following document.
Outbound (from Mist Edge OOBM interface):
- RADIUS Auth & Acct (1812 / 1813 UDP)
- RadSec (2083 TCP) towards radsec.nac.mist.com
- HTTPS (443 TCP) towards ep-terminator.<mist_cloud_env>.mist.com (more on correct endpoint for your cloud environment in this document).

Note:

Mist Access Assurance only supports EAP-TLS, TEAP or EAP-TTLS methods for home users and home roaming users.
For external visitors any EAP method is supported, including PEAP-MSCHAPv2. EAP method support is determined by an external institution RADIUS servers.
Dedicated Mist Edge(s) are a must for the IDP proxy functionality.
For proxy service redundancy, multiple Mist Edges can be used as part of the same Mist Edge cluster.

Configurar Juniper Mist

Complete estos pasos en el portal de Juniper Mist.

Incorpore sus dispositivos Mist Edge y cree un grupo de Mist Edge.
Consejos:
- Para agregar un dispositivo: en el menú de la izquierda, seleccione Mist Edges. Haga clic en Reclamar Mist Edge para un dispositivo previamente incorporado o haga clic en Crear Mist Edge para un dispositivo nuevo.
- Para agregar un clúster de Mist Edge: en el menú de la izquierda, seleccione Mist Edges. En la página Mist Edges, haga clic en Crear clúster. Escriba un nombre y seleccione los dispositivos de borde que desea incluir.
Agregue un DPI de proxy de Mist Edge.
Consejos:
- Para agregar un proveedor de identidad mediante Mist Edge proxy: en el menú de la izquierda, seleccione Organización > Acceso > proveedores de identidad. En la sección Configuración estática de la página, haga clic en Agregar DPI. Seleccione Proxy de Mist Edge como tipo de DPI. Complete los campos de la sección Configuración. Consulte los consejos en pantalla para obtener ayuda.
- Para especificar hosts proxy: ingrese las direcciones IPv4 públicas que Mist Edge escuchará para las solicitudes de RadSec y RADIUS. Todos estos dispositivos deben pertenecer al grupo de Mist especificado.
- Para excluir dominios o dominios de este proxy, ingrese los dominios o dominios separados por comas. Por ejemplo, en la mayoría de los casos usará autenticación local para sus propios usuarios, por lo que excluiría el dominio de su universidad, como myuniversity.edu.
- Para especificar el atributo Nombre de operador de RADIUS en las solicitudes, introduzca el atributo en este formato: 1<fqdn> como 1myuniversity.com.
Ejemplo

Para obtener más información, consulte Agregar proveedores de identidad para Juniper Mist Access Assurance.
Configure reglas de acceso para sus usuarios y visitantes.
Consejos:
- Para agregar una política: en el menú de la izquierda, seleccione Políticas de organización > acceso > autenticación. Haga clic en Agregar regla. Ingrese un nombre, criterios de coincidencia, acción (permitir o bloquear) y políticas.
- Para obtener instrucciones detalladas, consulte Configurar política de autenticación.
En el ejemplo siguiente se muestra una regla que se aplica a los tres tipos de usuarios. La primera regla coloca a los usuarios en casa y en roaming doméstico en la VLAN universitaria principal. La segunda regla coloca a los visitantes externos en una VLAN invitada.

Configure eduroam

En la consola de administración de eduroam, agregue sus Mist Edges. Dependiendo de la NRO de eduroam, la consola de administración puede tener un aspecto diferente, pero los puntos de integración generales seguirán siendo los mismos.

Servidores RADIUS de punto de acceso de Eduroam

Eduroam Admin Console: Hotspot RADIUS Servers Page

Reinos de IdP de Eduroam

Eduroam Admin Console: IdP Realms Page

Verificación

Para comprobar la configuración, compruebe los eventos en la página Información del cliente o en Eventos de NAC en la página Políticas de autenticación.

Nota:

Solo para usuarios externos, se generará un evento de acceso de cliente NAC permitido o denegado sin ningún otro evento NAC, debido al hecho de que la autenticación es manejada por un servidor RADIUS externo (eduroam).

Client Events Page Showing NAC Client Access Events

Consejo para la resolución de problemas: Si no ve los resultados esperados, revise la configuración del firewall. Asegúrese de haber abierto todos los puertos y destinos requeridos.

EN ESTA PÁGINA