circle-info
Dieser Artikel wurde automatisch übersetzt. Die Übersetzung kann Ungenauigkeiten enthalten.
Zur englischen Originalversion wechseln.chevron-right
search

Regeln

Dies ist die Dokumentation der RADIUSaaS-Regel-Engine, mit der Sie eine zusätzliche Sicherheitsebene hinzufügen können, indem Sie Regeln definieren, die Netzwerkanfragen weiter einschränken, oder indem Sie VLAN-IDs zuweisen.

hashtag
Allgemein

Alle von Ihnen konfigurierten Regeln werden angewendet nach erfolgreicher Anmeldeauthentifizierung, was bedeutet, dass die Regeln erst nach Vorlage gültiger Authentifizierungsdaten wirksam werden. Das impliziert, dass zum Passieren der ersten Authentifizierungsbarriere gültige Vertrauensanker (zertifikatbasierte Authentifizierung) oder Benutzer (Benutzername+Passwort-basierte Authentifizierung) zu Ihrer Instanz hinzugefügt werden müssen.

hashtag
Standardregel

Um eine Störung einer bestehenden Instanz zu vermeiden oder falls Sie die Regel-Engine überhaupt nicht verwenden möchten, wird standardmäßig jede Authentifizierung erlaubt, wenn keine Regel definiert ist. Dies wird durch unsere Standardregel realisiert Jede Authentifizierung erlaubt.

circle-exclamation

Die Standardregel Jede Authentifizierung erlaubt erfordert weiterhin das Vorhandensein gültiger Authentifizierungsdaten für eine erfolgreiche Netzwerk-Authentifizierung.

hashtag
Reihenfolge der Regel-Ausführung

Wenn Sie mehrere Regeln konfiguriert haben, werden diese in der Reihenfolge angewendet, wie Sie sie in Ihrem Webportal sehen – von oben nach unten.

Die einzige Ausnahme ist die Jede Authentifizierung erlaubt Regel, die als letzter Schritt behandelt wird, falls sie konfiguriert ist. Dies ist besonders hilfreich während einer Einführungsphase, in der Sie möglicherweise nicht sicher sind, ob Ihre Regeln alle Anwendungsfälle oder Standorte abdecken. Alle Authentifizierungsanfragen, die von den vorherigen Regeln abgelehnt wurden, werden dann weiterhin von der Standardregel akzeptiert. Im Dashboard können Sie dann die Geräte/Benutzer beobachten, die in allen anderen Regeln fehlschlagen, und die Regeln entsprechend korrigieren/erweitern.

Falls Sie schließlich eine große Anzahl von Regeln haben, empfehlen wir – im Sinne der Aufrechterhaltung hoher Leistung – die Regeln so zu ordnen, dass die wahrscheinlichsten Regeln zuerst getroffen werden.

Regeln anzeigen

hashtag
Regeloptionen

hashtag
Authentifizierung

  • Nur bestimmte Authentifizierungsquellen zulassen

    • z. B. WiFi oder LAN (VPN-Unterstützung ist in Arbeit)

  • Nur bestimmte Authentifizierungstypen zulassen

    • z. B. Zertifikat oder Benutzername+Passwort

hashtag
Zertifikatbasierte Authentifizierung

  • Nur bestimmte vertrauenswürdige CAs zulassen (Root- oder ausstellende CAs)

  • Nur bestimmte Intune-IDs zulassen oder das Zertifikatattribut vollständig ignorieren

hashtag
Benutzername/Passwort-basierte Authentifizierung

  • Nur Benutzernamen zulassen, die einem Regex-Muster entsprechen

hashtag
Konfiguration

hashtag
Infrastruktur-Einschränkungen

  • Definieren Sie welche SSIDs erlaubt sind

  • Definieren Sie welche Zugangspunkte oder Netzwerkswitches sind erlaubt (MAC-basiert)

hashtag
VLAN-Zuweisung

VLAN-IDs zuweisen ...

  • Statisch

  • Durch Auswertung einer benutzerdefinierten Zertifikatserweiterung

  • Durch Parsen von Attributen in Ihrem Zertifikat Subject-Name

hashtag
In diesem Abschnitt können vendorenspezifische Attribute (VSAs) verwaltet werden. Die hier konfigurierten Attribute können dann in Ihren Regeln unter „Zusätzliche RADIUS-Rückgabeattribute“ verwendet werden.

Standardmäßig können Sie aus der folgenden Liste von Rückgabeattributen auswählen, die Sie als Teil einer passenden Regel zurückgeben können:

  • Filter-Id

  • Fortinet-Group-Name

  • Framed-MTU

  • Tunnel-Passwort

  • Cisco-AVPair

  • Klasse

circle-info

RADIUS-Rückgabeattribute ermöglichen Netzwerkadministratoren die Definition spezifischer Einstellungen für einzelne Benutzer oder Gruppen.

Zum Beispiel,

  • Für die Konfiguration von Benutzerprofilen kann ein Attribut die maximale Sitzungsdauer, erlaubte Dienste (wie VPN oder WLAN) und die Methode zur Zuweisung von IP-Adressen spezifizieren.

  • Für die dynamische Zuweisung von IP-Adressen kann ein Attribut angeben, dass der Benutzer eine statische IP-Adresse erhalten soll oder DHCP für die dynamische Zuweisung verwendet werden soll.

  • Für Zugriffskontrolle und Autorisierung bestimmt ein Attribut das Zugriffslevel des Benutzers (z. B. Gast, Mitarbeiter, Administrator) und etwaige Einschränkungen (z. B. Zeitbegrenzungen).

  • Für Sitzungsverwaltung kann ein Attribut die Sitzungsdauer (wie lange der Benutzer verbunden bleiben kann), Leerlaufzeitüberschreitung (Trennung nach Inaktivität) und maximale gleichzeitige Anmeldungen festlegen.

  • Für Quality of Service (QoS) könnte ein Attribut Sprachverkehr gegenüber Datenverkehr für einen bestimmten Benutzer priorisieren.

Hersteller können eigene benutzerdefinierte Attribute erstellen (herstellerspezifische Attribute oder VSAs). Diese ermöglichen zusätzliche Funktionalität über die standardmäßigen IETF-Attribute hinaus. VSAs werden innerhalb des Standardattributs 26 kapselt.

Zusätzliche RADIUS-Attribute zurückgeben ...

  • Statisch

  • Durch Auswertung einer benutzerdefinierten Zertifikatserweiterung

  • Durch Parsen von Attributen in Ihrem Zertifikat Subject-Name

Zuletzt aktualisiert

War das hilfreich?