Cómo conectar un conmutador de la serie EX al servicio RADIUS de JumpCloud Cloud utilizando la autenticación IEEE 802.1X
Acerca de este ejemplo de configuración de red
Este ejemplo de configuración de red (NCE) muestra cómo configurar un conmutador de la serie EX para conectarse al servicio Cloud RADIUS de JumpCloud, que actúa como un servidor de autenticación RADIUS. Un servidor de autenticación RADIUS contiene información acerca de las cuentas de usuario y sus permisos para acceder a varios recursos de TI, y esos recursos consultan al servidor para autenticar a los usuarios que intentan acceder al recurso. Los conmutadores de la serie EX de Juniper Networks utilizan la autenticación IEEE 802.1X para proporcionar control de acceso a dispositivos o usuarios.
Descripción general del caso de uso
Las empresas están migrando cada vez más las cargas de trabajo empresariales a las nubes públicas. Los servicios de hospedaje en la nube ofrecen nuevas opciones de escalabilidad, resistencia y optimización de costos. Los servidores RADIUS le permiten crear de forma centralizada un conjunto coherente de cuentas de usuario para todos los dispositivos de la red, lo que facilita la administración de las cuentas de usuario. JumpCloud ahora ofrece un servicio de servidor RADIUS en la nube. Su servicio Cloud RADIUS administra cuentas de usuario y datos de empleados relacionados, como información de direcciones y teléfonos, fotos de perfil y más. Estos usuarios y sus identidades se pueden conectar a los recursos de TI que necesitan a través de la autenticación RADIUS, incluidos sistemas (Windows, Mac y Linux), servidores en la nube y en las instalaciones (por ejemplo, Amazon Web Services, Google Cloud, Microsoft Azure y centros de datos privados), aplicaciones web y en las instalaciones a través de LDAP y SAML, almacenamiento de datos y archivos, y redes cableadas y WiFi.
Descripción técnica
Los conmutadores de la serie EX proporcionan seguridad de borde de red con el estándar IEEE 802.1X para el control de acceso a la red basado en puertos, protegiendo las LAN Ethernet del acceso no autorizado de usuarios al bloquear todo el tráfico hacia y desde los dispositivos en la interfaz entrante hasta que las credenciales del usuario se presenten y coincidan en el servidor de autenticación. Cuando el servidor autentica al usuario, el conmutador deja de bloquear el acceso y abre la interfaz para el usuario. Cuando se configura la autenticación 802.1X en el conmutador, un servidor de autenticación evalúa los dispositivos finales en la conexión inicial. Para utilizar la autenticación 802.1X, debe configurar las conexiones del conmutador a cada servidor de autenticación que desee utilizar para autenticar usuarios y dispositivos.
Un servidor de autenticación RADIUS actúa como base de datos back-end y contiene información de credenciales para los dispositivos finales (suplicantes) que tienen permiso para conectarse a la red.
Ejemplo: Cómo ver la contraseña para el servidor JumpCloud RADIUS
Requisitos
Para conocer los requisitos de JumpCloud, consulte ¡Bienvenido al Centro de ayuda! en el sitio web de JumpCloud.
Antes de empezar
Para este ejemplo, asumimos que ya ha seguido los pasos en Configuración de servidores RADIUS en JumpCloud para convertirse en administrador de un servidor RADIUS en el servicio RADIUS de JumpCloud Cloud. Debe conocer la contraseña secreta (secreto compartido) del servidor para poder configurar esa contraseña en el conmutador, de modo que pueda conectar el conmutador al servidor RADIUS. La contraseña configurada para el servidor RADIUS en el servicio y en el conmutador debe coincidir.
Ver la contraseña del servidor RADIUS
Procedimiento
Procedimiento paso a paso
Inicie sesión en https://console.jumpcloud.com como usuario administrador de JumpCloud. Ahora está en la página Usuarios.
En la barra de navegación izquierda, haga clic en el icono de RADIUS.
Haga clic en > para editar la información del servidor RADIUS. En este ejemplo, el nombre del servidor es Rad-Home.
Haga clic en el icono del ojo en el campo Secreto compartido para ver la contraseña del servidor.
Ejemplo: Cómo conectar el conmutador de la serie EX al servicio RADIUS de JumpCloud Cloud
Requisitos
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Un conmutador EX4300, EX3400 o EX2300 que ejecute Junos OS versión 18.4R2 o posterior.
Visión general
En este ejemplo, asumimos que el conmutador ya está configurado y funcionando en su red, y que la red puede enviar y recibir tráfico de Internet. Debe revisar sus propios requisitos y cambiar los pasos a continuación según sea necesario.
Para conectar el conmutador al servicio RADIUS de JumpCloud Cloud, usted:
Configure la información del servidor RADIUS.
Cree un perfil de acceso.
Configure el proceso de autenticación 802.1X para usar el perfil de acceso.
Configure la interfaz conectada al dispositivo final.
Configure la autenticación 802.1X en esa interfaz.
Compruebe la configuración.
Topología
Configuración
Procedimiento
Procedimiento paso a paso
Configure la información sobre el servidor RADIUS de JumpCloud: la dirección IP, el número de puerto de autenticación del servidor RADIUS, la contraseña secreta, el valor de tiempo de espera y el recuento de reintentos. La contraseña secreta debe coincidir con el "Secreto compartido" configurado en el servidor JumpCloud RADIUS.
Consulte Configuración de un punto de acceso inalámbrico (WAP), VPN o enrutador para el RADIUS de JumpCloud en el sitio web de JumpCloud para obtener las direcciones IP actuales del servicio RADIUS de JumpCloud Cloud; en este ejemplo, hemos utilizado la dirección IP para el servicio US West RADIUS, 54.203.27.225. (El servicio JumpCloud no admite contabilidad en este momento, por lo que no es necesario configurar la
accounting-portinstrucción).set access radius-server 54.203.27.225 port 1812 set access radius-server 54.203.27.225 secret "SharedSecret" set access radius-server 54.203.27.225 timeout 3 set access radius-server 54.203.27.225 retry 3 set access radius-server 54.203.27.225 accounting-retry 3
Configure un perfil de acceso para especificar el orden de autenticación, que especifica RADIUS como método de autenticación. También puede configurar la dirección IP del servidor RADIUS para que se asocie al perfil y configurar el intervalo de reversión, que es la cantidad de tiempo que espera el conmutador después de que un servidor no sea accesible. (El servicio JumpCloud no admite contabilidad en este momento, por lo que no es necesario configurar la
accounting-serverinstrucción).set access profile jumpcloud authentication-order radius set access profile jumpcloud radius authentication-server 54.203.27.225 set access profile jumpcloud radius options revert-interval 60
Configure el servidor RADIUS que se utilizará para la autenticación IEEE 802.1X especificando el nombre del perfil de acceso.
set protocols dot1x authenticator authentication-profile-name jumpcloud
Configure la interfaz conectada al dispositivo final.
set interfaces ge-0/0/8 unit 0 family ethernet-switching
Configure la interfaz lógica conectada al dispositivo final (suplicante) con el modo de autenticación 802.1X (por ejemplo, único) y algunas de las prácticas recomendadas, como configurar la autenticación EAP-PEAP. Reemplace
ge-0/0/8.0con la interfaz correcta para su dispositivo final.set protocols dot1x authenticator interface ge-0/0/8.0 supplicant single set protocols dot1x authenticator interface ge-0/0/8.0 retries 3 set protocols dot1x authenticator interface ge-0/0/8.0 quiet-period 60 set protocols dot1x authenticator interface ge-0/0/8.0 transmit-period 30 set protocols dot1x authenticator interface ge-0/0/8.0 mac-radius authentication-protocol eap-peap set protocols dot1x authenticator interface ge-0/0/8.0 reauthentication 3600 set protocols dot1x authenticator interface ge-0/0/8.0 supplicant-timeout 30 set protocols dot1x authenticator interface ge-0/0/8.0 server-fail deny
Confirme la configuración.
Compruebe que el suplicante se está autenticando en la interfaz (ge-0/0/8.0) mediante el
show dot1x interface briefcomando. El resultado muestra quejcuser1se ha autenticado correctamente utilizando el servidor RADIUS de JumpCloud Cloud.root@exswitch> show dot1x interface brief 802.1X Information: Interface Role State MAC address User ge-0/0/8.0 Authenticator Authenticated 00:00:5E:00:53:01 jcuser1
Compruebe que la autenticación 802.1X esté configurada según lo previsto mediante el
show dot1x interface detailcomando.root@exswitch> show dot1x interface detail ge-0/0/8.0 Role: Authenticator Administrative state: Auto Supplicant mode: Single Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Enabled Mac Radius Restrict: Disabled Mac Radius Authentication Protocol: PEAP/MSCHAPv2 Reauthentication: Enabled Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: not configured Number of connected supplicants: 1
En la mayoría de los casos, no es necesaria ninguna configuración adicional, y los usuarios pueden conectarse a la red con sus credenciales de JumpCloud. Sin embargo, para algunos clientes y dispositivos finales, es posible que el servidor JumpCloud no pueda negociar automáticamente el certificado del servidor RADIUS. Es posible que deba configurar estos clientes utilizando la configuración de PEAP en Configuración de sus clientes WiFi para usar JumpCloud RADIUS en el sitio web de JumpCloud.