circle-info
Dieser Artikel wurde automatisch übersetzt. Die Übersetzung kann Ungenauigkeiten enthalten.
Zur englischen Originalversion wechseln.chevron-right
search

VPN

hashtag
Grundlagen

  1. Um eine VPN-Regel zu erstellen, fügen Sie ein Element unter dem Regelsammlung Bereich und wählen Sie VPN-Regel.

  2. Geben Sie der Regel einen Namen der erklärt, wofür die Regel verwendet wird. Außerdem hilft ein beschreibender Name dabei, Authentifizierungsanfragen, die von dieser Regel verarbeitet werden, später in Ihren Protokollen leicht zu identifizieren.

  3. Vergessen Sie nicht, Aktivieren Sie die Regel!

Zeigt VPN-Regel an

hashtag
Authentifizierung

Unter dem Authentifizierung Bereich ist Ihre erste Wahl, ob Sie Zertifikatbasierte oder Benutzername/Passwort-basierte Authentifizierung für diese Regel zulassen oder ablehnen möchten.

Zeigt VPN-Authentifizierung an

hashtag
Zertifikatbasierte Authentifizierung

Bei der zertifikatbasierten Authentifizierung haben Sie die folgenden Optionen, um eingehende Authentifizierungsanfragen weiter einzuschränken.

hashtag
Nur bestimmte CAs zulassen (Vertrauenswürdige CAs)

Damit können Sie eingehende Authentifizierungsanfragen auf bestimmte vertrauenswürdige Root- oder ausstellende CAs eingrenzen. Diese CAs können eine Teilmenge aller auf der RADIUSaaS-Plattform konfigurierten vertrauenswürdigen Roots sein.

Zeigt Zertifikatfilterung an

hashtag
Nach Intune-IDs filtern

Dies ist eine historische Einstellung. Wenn sich Ihre Clients mit Zertifikaten authentifizieren, die sie während des AAD-Join erhalten haben, möchten Sie nach Ihrer Intune-Mandanten-ID filtern.

Falls Sie Ihre Mandanten-IDs wie beschrieben eingegeben haben hier, ist das Standardverhalten von RADIUSaaS, dass nur Maschinen mit einem Zertifikat, das die Erweiterung OID 1.2.840.113556.5.14 und einen auf die Whitelist gesetzten Wert für die Mandanten-ID enthält, Zugriff auf das Netzwerk erhalten. Mit der Regel-Engine haben Sie jetzt die Möglichkeit, den Zugriff für eine bestimmte Regel weiter auf bestimmte Intune-IDs einzuschränken oder die Zertifikaterweiterung zu ignorieren. Dadurch können Sie eine Multi-Deployment-Konfiguration einrichten, bei der einige Clients Zertifikate mit der jeweiligen OID mitbringen und andere nicht.

Zeigt Intune-ID-Filterung an

hashtag
Benutzername/Passwort-basierte Authentifizierung

Nach dem Aktivieren der Benutzername/Passwort-basierte Authentifizierung können Sie zusätzliche Filter anwenden, indem Sie einen Regex auf dem Benutzername. Standardmäßig sind alle Benutzernamen ausgewählt.

Zeigt benutzername-/passwortbasierte Authentifizierung an

hashtag
Konfiguration

Unter dem Konfiguration Im Bereich können Sie zusätzliche Filterkriterien basierend auf der Herkunft der Authentifizierungsanfragen konfigurieren sowie zusätzliche RADIUS-Attribute zurückgeben, z. B. Filter-Id.

hashtag
NAS-Identifier-Filter

circle-info

Falls Sie sich nicht sicher sind, welchen Identifier Ihr NAS verwendet, können Sie die Protokolle überprüfen (Logtyp = detail). RADIUSaaS sucht nach einer Eigenschaft namens NAS-Identifier um diese mit den vertrauenswürdigen NAS-Identifiern abzugleichen.

Um einen NAS-Identifier-Filter zu setzen, wählen Sie entweder Identifier oder Gruppen.

  • Wenn Sie Identifierauswählen, können Sie mehrere Identifier

  • Wenn Sie Gruppen, können Sie auf eine oder mehrere Ihrer vordefinierten NAS-Identifier-Gruppen.

Zeigt NAS-Identifier an

hashtag
NAS-IP-Adressfilter

Um einen NAS-IP-Adressfilter einzurichten, wählen Sie entweder IPs oder Gruppen.

  • Wenn Sie IPsauswählen, können Sie mehrere IPs.

  • Wenn Sie Gruppen, können Sie auf eine oder mehrere Ihrer vordefinierten NAS-IP-Adressgruppen.

Zeigt NAS-IP-Adressfilter an

hashtag
RADIUS-Attribut-Rückgabe

circle-info

Falls Sie Rückgabeattribute benötigen, die standardmäßig nicht verfügbar sind, bitte kontaktieren Sie unseren Supportarrow-up-right.

Die RADIUSaaS-Regel-Engine bietet mehrere Möglichkeiten, zusätzliche RADIUS-Attribute zurückzugeben. Die folgenden Optionen sind verfügbar:

hashtag
Statisch

Geben Sie die zurückzugebenden Attribute und deren Werte statisch an, die basierend auf der zugehörigen Regel zugewiesen werden sollen.

hashtag
Durch Zertifikatserweiterung

circle-info

Derzeit wird das Hinzufügen benutzerdefinierter Zertifikaterweiterungen zu SCEP-Profilen in vielen MDM-Systemen, einschließlich Microsoft Intune und JAMF, nicht unterstützt.

Wir empfehlen daher, stattdessen den Zertifikatsbetreffnamen des Zertifikats zu verwenden, um eine VLAN-Zuweisung hinzuzufügen.

  • Wählen Sie eine Ihrer erstellten Zertifikaterweiterungen aus

  • Der Filter ist so gesetzt, dass der Wert des angegebenen Rückgabeattributs mit Ihrer angegebenen Erweiterung (OID) übereinstimmt

  • Platzhalterzeichen werden in .* Regex übersetzt

hashtag
Nach Eigenschaft des Zertifikatsbetreffs

  • Sie können auch zusätzliche RADIUS-Attribute basierend auf Eigenschaften im Subject Name Ihres Zertifikats zurückgeben

  • Geben Sie dazu an, in welcher Eigenschaft der Wert des Rückgabeattributs gespeichert ist

  • Konfigurieren Sie dann, welche Zeichenfolge dem Wert des Rückgabeattributs vorangestellt wird

  • Der Wert, der in der Subject-Name-Eigenschaft angegeben ist, muss nicht zwingend ein Präfix haben. Es kann jedoch erforderlich sein, ein Präfix zu verwenden, falls Ihr Subject Name dasselbe Attribut mehr als einmal trägt (z. B. sind mehrere CNs recht häufig).

Zuletzt aktualisiert

War das hilfreich?