# LAN
## Grundlagen
1. Um eine LAN-Regel zu erstellen, fügen Sie ein **Element** unter der **Regelsammlung** Ablage hinzu und wählen Sie **LAN-Regel.**
2. Geben Sie der Regel einen **Namen** der erklärt, wofür die Regel verwendet wird. Außerdem hilft ein beschreibender Name Ihnen später dabei, Authentifizierungsanfragen, die von dieser Regel verarbeitet werden, in Ihren Protokollen leicht zu identifizieren.
3. Vergessen Sie nicht, die Regel zu **aktivieren** !
## **Authentifizierung**
Unter der **Authentifizierung** Ablage ist Ihre erste Entscheidung, ob Sie **zertifikatsbasierte** oder **benutzername-/passwortbasierte** Authentifizierung für diese Regel zulassen oder ablehnen möchten.
LAN-Authentifizierung anzeigen
### **Zertifikatsbasierte Authentifizierung**
Für die zertifikatsbasierte Authentifizierung haben Sie die folgenden Möglichkeiten, eingehende Authentifizierungsanfragen weiter einzuschränken.
#### Nur bestimmte CAs zulassen (vertrauenswürdige CAs)
Damit können Sie eingehende Authentifizierungsanfragen auf bestimmte vertrauenswürdige Root- oder ausstellende CAs eingrenzen. Diese CAs können eine Teilmenge aller Trusted Roots sein, die Sie auf der RADIUSaaS-Plattform konfiguriert haben.
Filterung nach vertrauenswürdigen Root-CAs anzeigen
#### Nach Intune-IDs filtern
Dies ist eine historische Einstellung. Wenn sich Ihre Clients mit Zertifikaten authentifizieren, die Ihre Clients während des AAD-Joins erhalten haben, sollten Sie nach Ihrer Intune-Tenant-ID filtern.
Falls Sie Ihre Tenant-IDs wie beschrieben eingegeben haben [hier](/de/admin-portal/settings/trusted-roots.md#intune-id), ist das Standardverhalten von RADIUSaaS, dass nur Maschinen Zugriff auf das Netzwerk erhalten, die ein Zertifikat mit der Erweiterung OID **1.2.840.113556.5.14** und einem freigegebenen Wert für die Tenant ID vorweisen. Mit der Regel-Engine haben Sie nun die Möglichkeit, den Zugriff für eine bestimmte Regel weiter auf bestimmte Intune-IDs einzuschränken oder die Zertifikatserweiterung zu ignorieren. Dadurch können Sie ein Multi-Deployment-Setup betreiben, bei dem einige Clients mit Zertifikaten kommen, die die entsprechende OID bereitstellen, und andere nicht.
Filterung nach Intune-ID anzeigen
### Benutzername-/Passwortbasierte Authentifizierung
Nach dem Aktivieren der **benutzername-/passwortbasierte** Authentifizierung können Sie zusätzliche Filterung anwenden, indem Sie einen Regex auf den **Benutzernamen**konfigurieren. Standard ist alle Benutzernamen.
## Konfiguration
Unter der **Konfiguration** Ablage können Sie zusätzliche Filterkriterien basierend auf der Herkunft von Authentifizierungsanfragen konfigurieren sowie VLAN-IDs zuweisen.
### Switch-Filter
{% hint style="info" %}
Dieser MAC-Adressfilter ermöglicht es Ihnen, bestimmte **Switches** für die Kommunikation mit RADIUSaaS zuzulassen. **Dies ist kein MAC-Adressfilter für Endgeräte!**
{% endhint %}
Um einen **MAC-Adress-basierten** Switch-Filter festzulegen, wählen Sie entweder **Adressen** oder **Gruppen**.
* Wenn Sie **Adressen**auswählen, können Sie mehrere Switch-MAC-Adressen angeben**.**
* Wenn Sie **Gruppen,** können Sie auf eine oder mehrere Ihrer vordefinierten **MAC-Adressgruppen**.
anzeigen
Die folgenden Schreibweisen werden für die MAC-Adressen unterstützt:
* xx-xx-xx-xx-xx-xx
* xx:xx:xx:xx:xx:xx
* xxxxxxxxxxxx
### VLAN-Zuweisung
{% hint style="info" %}
Falls Sie anbieterspezifische VLAN-Rückgabeattribute benötigen, können Sie diese verwalten [hier](/de/admin-portal/settings/rules/general-structure.md#vlan-attributes).
{% endhint %}
Die RADIUSaaS-Regel-Engine bietet mehrere Möglichkeiten, Virtual-LAN-IDs zuzuweisen. Die folgenden Optionen sind verfügbar:
#### Statisch
* Geben Sie statisch die VLAN-ID an, die basierend auf der zugehörigen Regel zugewiesen werden soll
#### Über Zertifikatserweiterung
{% hint style="info" %}
Derzeit wird es in vielen MDM-Systemen, einschließlich Microsoft Intune und JAMF, nicht unterstützt, benutzerdefinierte Zertifikatserweiterungen zu SCEP-Profilen hinzuzufügen.
Wir empfehlen daher, stattdessen den [Zertifikats-Betreffnamen](#by-certificate-subject-name) des Zertifikats zu verwenden, um eine VLAN-Zuweisung hinzuzufügen.
{% endhint %}
* Wählen Sie eine Ihrer erstellten Zertifikatserweiterungen aus
* Der Filter ist so eingestellt, dass der Wert mit Ihrer angegebenen Erweiterung (OID) übereinstimmen muss
* Platzhalter werden in .\* Regex umgewandelt
#### Über Eigenschaft des Zertifikats-Betreffnamens
Sie können VLAN-IDs auch basierend auf Eigenschaften im Betreffnamen Ihres Zertifikats zuweisen. Wenn Sie beispielsweise VLAN 15 in Ihren Regeln zuweisen möchten und Intune verwenden, um Ihr SCEP-Profil zu definieren und bereitzustellen, müssen Sie das **Format des Betreffnamens** in Ihrem SCEP-Profil wie folgt konfigurieren `CN={{DeviceId}},`**`OU=vlan-15`**
VLAN-ID-Konfiguration im SCEP-Gerätezertifikat anzeigen
Sobald das Profil bereitgestellt ist, gehen Sie zurück zu **RADIUSaaS** > **Regeln** und geben Sie an, in welcher Eigenschaft die VLAN-ID gespeichert ist, und konfigurieren Sie die Zeichenkette, mit der der VLAN-ID ein Präfix vorangestellt wird. z. B. `vlan-`
{% hint style="info" %}
Die VLAN-ID muss kein Präfix haben. Es kann jedoch hilfreich sein, wenn Ihr Betreffname dasselbe Attribut mehr als einmal enthält (z. B. sind mehrere CNs ziemlich häufig).
{% endhint %}
Als Beispiel weist die folgende Regel die VLAN-ID 15 basierend auf dem `Betreffnamen` Attribut `OU` mit dem Präfix `vlan-`
### Zusätzliche RADIUS-Attribute
{% hint style="info" %}
Falls Sie Rückgabeattribute benötigen, die standardmäßig nicht verfügbar sind, fügen Sie diese bitte hinzu [hier](/de/admin-portal/settings/rules/general-structure.md#radius-attributes).
{% endhint %}
Die RADIUSaaS-Regel-Engine bietet mehrere Möglichkeiten, zusätzliche RADIUS-Attribute zurückzugeben (neben der VLAN-ID). Die folgenden Optionen sind verfügbar:
#### Statisch
Geben Sie statisch das/die Rückgabeattribut(e) und deren Wert(e) an, die basierend auf der zugehörigen Regel zugewiesen werden sollen.
#### Über Zertifikatserweiterung
{% hint style="info" %}
Derzeit wird es in vielen MDM-Systemen, einschließlich Microsoft Intune und JAMF, nicht unterstützt, benutzerdefinierte Zertifikatserweiterungen zu SCEP-Profilen hinzuzufügen.
Wir empfehlen daher, stattdessen den [Zertifikats-Betreffnamen](#by-certificate-subject) des Zertifikats zu verwenden, um eine VLAN-Zuweisung hinzuzufügen.
{% endhint %}
* Wählen Sie eine Ihrer erstellten Zertifikatserweiterungen aus
* Der Filter ist so eingestellt, dass der Wert des angegebenen Rückgabeattributs mit Ihrer angegebenen Erweiterung (OID) übereinstimmen muss
* Platzhalter werden in .\* Regex umgewandelt
#### Über Eigenschaft des Zertifikats-Betreffnamens
* Sie können auch zusätzliche RADIUS-Attribute basierend auf Eigenschaften im Betreffnamen Ihres Zertifikats zurückgeben
* Geben Sie daher an, in welcher Eigenschaft der Wert des Rückgabeattributs gespeichert ist
* Konfigurieren Sie dann, mit welcher Zeichenkette der Wert des Rückgabeattributs vorangestellt wird
* Der in der Eigenschaft des Betreffnamens angegebene Wert muss kein Präfix haben. Es kann jedoch erforderlich sein, ein Präfix zu verwenden, falls Ihr Betreffname dasselbe Attribut mehr als einmal enthält (z. B. sind mehrere CNs ziemlich häufig).
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.radiusaas.com/de/admin-portal/settings/rules/lan.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.