circle-info
Dieser Artikel wurde automatisch übersetzt. Die Übersetzung kann Ungenauigkeiten enthalten.
Zur englischen Originalversion wechseln.chevron-right
search

Regeln

Dies ist die Dokumentation der RADIUSaaS-Regel-Engine, die es Ihnen ermöglicht, eine zusätzliche Sicherheitsebene hinzuzufügen, indem Sie Regeln definieren, die Netzwerkzugriffsanforderungen weiter einschränken oder VLAN-IDs zuweisen.

hashtag
Allgemein

Alle von Ihnen konfigurierten Regeln werden angewendet nach erfolgreicher Anmeldeauthentifizierung, was bedeutet, dass die Regeln erst nach der Angabe gültiger Authentifizierungsdaten wirksam werden. Das impliziert, dass zum Bestehen der ersten Authentifizierungsstufe gültige Vertrauensanker (zertifikatbasierte Authentifizierung) oder Benutzer (Benutzername+Passwort-basierte Authentifizierung) zu Ihrer Instanz hinzugefügt werden müssen.

hashtag
Standardregel

Um Störungen einer bestehenden Instanz zu vermeiden oder falls Sie die Regel-Engine überhaupt nicht nutzen möchten, ist standardmäßig jede Authentifizierung erlaubt, wenn keine Regel definiert ist. Dies wird durch unsere Standardregel realisiert Jede Authentifizierung erlaubt.

circle-exclamation

Die Standardregel Jede Authentifizierung erlaubt erfordert dennoch das Vorhandensein gültiger Authentifizierungsdaten für eine erfolgreiche Netzwerk-Authentifizierung.

hashtag
Reihenfolge der Regel-Ausführung

Wenn Sie mehrere Regeln konfiguriert haben, werden diese in der Reihenfolge angewendet, wie Sie sie in Ihrem Webportal sehen – von oben nach unten.

Die einzige Ausnahme ist die Jede Authentifizierung erlaubt Regel, die als letzter Schritt behandelt wird, falls sie konfiguriert ist. Dies ist besonders hilfreich während eines Einführungszeitraums, in dem Sie möglicherweise nicht sicher sind, ob Ihre Regeln alle Anwendungsfälle oder Standorte abdecken. Alle Authentifizierungsanfragen, die von den vorherigen Regeln abgelehnt wurden, werden dann trotzdem von der Standardregel akzeptiert. Im Dashboard können Sie dann die Geräte/Benutzer beobachten, die für alle anderen Regeln fehlschlagen, und die Regeln entsprechend korrigieren/erweitern.

Falls Sie schließlich eine große Anzahl von Regeln haben, empfehlen wir – im Sinne der Aufrechterhaltung hoher Leistung – die Regeln so anzuordnen, dass die wahrscheinlichsten Regeln zuerst getroffen werden.

Regeln anzeigen

hashtag
Regeloptionen

hashtag
Authentifizierung

  • Nur bestimmte Authentifizierungsquellen zulassen

    • z. B. WiFi oder LAN (VPN-Unterstützung ist in Arbeit)

  • Nur bestimmte Authentifizierungstypen zulassen

    • z. B. Zertifikat oder Benutzername+Passwort

hashtag
Zertifikatbasierte Authentifizierung

  • Nur bestimmte vertrauenswürdige CAs (Root- oder ausstellende CAs) zulassen

  • Nur bestimmte Intune-IDs zulassen oder das Zertifikatattribut vollständig ignorieren

hashtag
Benutzername/Passwort-basierte Authentifizierung

  • Nur Benutzernamen erlauben, die einem Regex-Muster entsprechen

hashtag
Konfiguration

hashtag
Infrastrukturelle Einschränkungen

  • Definieren Sie welche SSIDs erlaubt sind

  • Definieren Sie welche Zugangspunkte oder Netzwerkswitches sind erlaubt (MAC-basiert)

hashtag
VLAN-Zuweisung

VLAN-IDs zuweisen ...

  • Statisch

  • Durch Auswertung einer benutzerdefinierten Zertifikaterweiterung

  • Durch Parsen von Attributen in Ihrem Zertifikat Subject-Name

hashtag
Zusätzliche RADIUS-Rückgabeattribute

Standardmäßig können Sie aus der folgenden Liste von Rückgabeattributen auswählen, die Sie als Teil einer übereinstimmenden Regel zurückgeben können:

  • Filter-Id

  • Fortinet-Group-Name

  • Framed-MTU

  • Tunnel-Password

  • Cisco-AVPair

  • Class

circle-info

RADIUS-Rückgabeattribute ermöglichen Netzwerkadministratoren, spezifische Einstellungen für einzelne Benutzer oder Gruppen festzulegen.

Zum Beispiel,

  • Für die Benutzerprofil-Konfiguration kann ein Attribut die maximale Sitzungsdauer, erlaubte Dienste (wie VPN oder WLAN) und die Methode zur IP-Adresszuweisung festlegen.

  • Für die dynamische IP-Adresszuweisung könnte ein Attribut beispielsweise festlegen, dass der Benutzer eine statische IP-Adresse erhalten soll oder DHCP für die dynamische Zuweisung verwendet werden soll.

  • Für Zugriffskontrolle und Autorisierung bestimmt ein Attribut das Zugriffslevel des Benutzers (z. B. Gast, Mitarbeiter, Administrator) und etwaige Einschränkungen (z. B. Zeitlimits).

  • Für Sitzungsmanagement kann ein Attribut das Sitzungs-Timeout (wie lange der Benutzer verbunden bleiben darf), das Leerlauf-Timeout (Trennung nach Inaktivität) und maximale gleichzeitige Anmeldungen festlegen.

  • Für Quality of Service (QoS) könnte ein Attribut beispielsweise Sprachverkehr gegenüber Datenverkehr für einen bestimmten Benutzer priorisieren.

Anbieter können ihre eigenen benutzerdefinierten Attribute erstellen (anbieter-spezifische Attribute oder VSAs). Diese ermöglichen zusätzliche Funktionen über die standardmäßigen IETF-Attribute hinaus. VSAs werden innerhalb des Standardattributs 26 gekapselt.

Zusätzliche RADIUS-Attribute zurückgeben ...

  • Statisch

  • Durch Auswertung einer benutzerdefinierten Zertifikaterweiterung

  • Durch Parsen von Attributen in Ihrem Zertifikat Subject-Name

Zuletzt aktualisiert

War das hilfreich?