circle-info
Dieser Artikel wurde automatisch übersetzt. Die Übersetzung kann Ungenauigkeiten enthalten.
Zur englischen Originalversion wechseln.chevron-right
search

LAN

hashtag
Grundlagen

  1. Um eine LAN-Regel zu erstellen, fügen Sie ein Element unter dem Regelsammlung Bereich hinzu und wählen LAN-Regel.

  2. Geben Sie der Regel einen Namen der erklärt, wofür die Regel verwendet wird. Außerdem hilft ein beschreibender Name später dabei, Authentifizierungsanfragen, die von dieser Regel verarbeitet werden, in Ihren Protokollen leicht zu identifizieren.

  3. Vergessen Sie nicht, die Regel zu aktivieren !

hashtag
Authentifizierung

Unter dem Authentifizierung Bereich besteht Ihre erste Wahl darin, ob Sie für diese Regel die zertifikatbasierte oder benutzername-/passwortbasierte Authentifizierung zulassen oder ablehnen möchten.

Anzeige der LAN-Authentifizierung

hashtag
Zertifikatbasierte Authentifizierung

Bei der zertifikatbasierten Authentifizierung haben Sie die folgenden Möglichkeiten, eingehende Authentifizierungsanfragen weiter einzuschränken.

hashtag
Nur bestimmte CAs zulassen (Vertrauenswürdige CAs)

Damit können Sie eingehende Authentifizierungsanfragen auf bestimmte vertrauenswürdige Root- oder ausstellende CAs eingrenzen. Diese CAs können eine Teilmenge aller vertrauenswürdigen Roots sein, die Sie auf der RADIUSaaS-Plattform konfiguriert haben.

Anzeige der Filterung nach vertrauenswürdigem Stamm-CA

hashtag
Filter für Intune-IDs

Dies ist eine historische Einstellung. Wenn sich Ihre Clients mit Zertifikaten authentifizieren, die Ihre Clients während des AAD-Join erhalten haben, möchten Sie nach Ihrer Intune-Mandanten-ID filtern.

Falls Sie Ihre Mandanten-IDs wie hiereingetragen haben, ist das Standardverhalten von RADIUSaaS, dass nur Maschinen, die ein Zertifikat mit der Erweiterungs-OID 1.2.840.113556.5.14 und einem auf der Whitelist stehenden Wert für die Mandanten-ID vorweisen, Zugriff auf das Netzwerk erhalten. Mit der Regel-Engine haben Sie nun die Möglichkeit, den Zugriff für eine bestimmte Regel weiter auf bestimmte Intune-IDs einzuschränken oder die Zertifikaterweiterung zu ignorieren. Dadurch können Sie eine Multi-Deployment-Konfiguration haben, bei der einige Clients Zertifikate mit der entsprechenden OID mitbringen und andere nicht.

Anzeige der Filterung nach Intune-ID

hashtag
Benutzername-/Passwort-basierte Authentifizierung

Nach dem Aktivieren der benutzername-/passwortbasierte Authentifizierung können Sie durch Konfigurieren eines Regex für den Benutzernamenzusätzliche Filter anwenden. Standard ist alle Benutzernamen.

Anzeige der benutzername-/passwortbasierten Authentifizierung

hashtag
Konfiguration

Unter dem Konfiguration Im Bereich können Sie zusätzliche Filterkriterien basierend auf der Herkunft der Authentifizierungsanfragen konfigurieren sowie VLAN-IDs zuweisen.

hashtag
Switch-Filter

circle-info

Dieser MAC-Adressfilter ermöglicht es Ihnen, bestimmte Switches zur Kommunikation mit RADIUSaaS zuzulassen. Dies ist kein MAC-Adressfilter für Endgeräte!

Um einen MAC-Adressbasierten Switch-Filter einzurichten, wählen Sie entweder Adressen oder oder.

  • Gruppen AdressenWenn Sie.

  • Gruppen wählen, können Sie mehrere Switch-MAC-Adressen angeben Wählen Sie MAC-Adressgruppen.

Anzeige der MAC-Adressfilterung

Für die MAC-Adressen werden die folgenden Schreibweisen unterstützt:

  • xx-xx-xx-xx-xx-xx

  • xx:xx:xx:xx:xx:xx

  • xxxxxxxxxxxx

hashtag
VLAN-Zuweisung

circle-info

Falls Sie herstellerspezifische VLAN-Rückgabeattribute benötigen, können Sie diese verwalten hier.

Die RADIUSaaS-Regel-Engine bietet mehrere Möglichkeiten, virtuelle LAN-IDs zuzuweisen. Die folgenden Optionen sind verfügbar:

hashtag
Statisch

  • Geben Sie statisch die VLAN-ID an, die basierend auf der zugehörigen Regel zugewiesen werden soll

hashtag
Über Zertifikaterweiterung

circle-info

Derzeit wird das Hinzufügen benutzerdefinierter Zertifikaterweiterungen zu SCEP-Profilen in vielen MDM-Systemen, einschließlich Microsoft Intune und JAMF, nicht unterstützt.

Wir empfehlen daher, stattdessen den Zertifikat-Subject-Namen des Zertifikats zu verwenden, um eine VLAN-Zuweisung hinzuzufügen.

  • Wählen Sie eine Ihrer erstellten Zertifikaterweiterungen

  • Der Filter ist so eingestellt, dass der Wert mit Ihrer angegebenen Erweiterung (OID) übereinstimmt

  • Platzhalterzeichen werden in .* Regex übersetzt

hashtag
Über Zertifikat-Subject-Name-Eigenschaft

Sie können VLAN-IDs auch basierend auf Eigenschaften im Subject-Namen Ihres Zertifikats zuweisen. Wenn Sie beispielsweise VLAN 15 in Ihren Regeln zuweisen möchten und Intune verwenden, um Ihr SCEP-Profil zu definieren und bereitzustellen, müssen Sie das Subject-Name-Format in Ihrem SCEP-Profil so konfigurieren, z. B. CN={{DeviceId}},OU=vlan-15

Anzeige der VLAN-ID-Konfiguration im SCEP-Gerätezertifikat

Sobald das Profil bereitgestellt ist, kehren Sie zu RADIUSaaS > Regeln zurück und geben Sie an, in welcher Eigenschaft die VLAN-ID gespeichert ist, und konfigurieren Sie den String, mit dem die VLAN-ID vorangestellt wird, z. B. vlan-

circle-info

Die VLAN-ID muss kein Präfix haben. Es kann jedoch nützlich sein, falls Ihr Subject-Name dasselbe Attribut mehr als einmal enthält (z. B. sind mehrere CNs recht verbreitet).

Als Beispiel weist die folgende Regel die VLAN-ID 15 basierend auf dem Subject-Name- Attribut OU mit dem Präfix vlan-

Anzeige der VLAN-Filterung

hashtag
Zusätzliche RADIUS-Attribute

circle-info

Falls Sie Rückgabeattribute benötigen, die standardmäßig nicht verfügbar sind, fügen Sie diese bitte hinzu hier.

Die RADIUSaaS-Regel-Engine bietet mehrere Möglichkeiten, zusätzliche RADIUS-Attribute zurückzugeben (neben der VLAN-ID). Die folgenden Optionen sind verfügbar:

hashtag
Statisch

Geben Sie statisch das/die Rückgabeattribut(e) und deren Wert(e) an, die basierend auf der zugehörigen Regel zugewiesen werden sollen.

hashtag
Über Zertifikaterweiterung

circle-info

Derzeit wird das Hinzufügen benutzerdefinierter Zertifikaterweiterungen zu SCEP-Profilen in vielen MDM-Systemen, einschließlich Microsoft Intune und JAMF, nicht unterstützt.

Wir empfehlen daher, stattdessen den Zertifikat-Subject-Namen des Zertifikats zu verwenden, um eine VLAN-Zuweisung hinzuzufügen.

  • Wählen Sie eine Ihrer erstellten Zertifikaterweiterungen

  • Der Filter ist so eingestellt, dass der Wert des angegebenen Rückgabeattributs mit Ihrer angegebenen Erweiterung (OID) übereinstimmt

  • Platzhalterzeichen werden in .* Regex übersetzt

hashtag
Über Zertifikat-Subject-Name-Eigenschaft

  • Sie können auch zusätzliche RADIUS-Attribute basierend auf Eigenschaften im Subject-Namen Ihres Zertifikats zurückgeben

  • Dazu geben Sie an, in welcher Eigenschaft der Wert des Rückgabeattributs gespeichert ist

  • Anschließend konfigurieren Sie, mit welchem String der Wert des Rückgabeattributs vorangestellt wird

  • Der im Subject-Name gespeicherte Wert muss nicht zwingend ein Präfix haben. Es kann jedoch erforderlich sein, ein Präfix zu verwenden, falls Ihr Subject-Name dasselbe Attribut mehr als einmal enthält (z. B. sind mehrere CNs recht verbreitet).

Zuletzt aktualisiert

War das hilfreich?