circle-info
Dieser Artikel wurde automatisch übersetzt. Die Übersetzung kann Ungenauigkeiten enthalten.
Zur englischen Originalversion wechseln.chevron-right
search

WiFi

hashtag
Grundlagen

  1. Um eine WiFi-Regel zu erstellen, fügen Sie eine Element unter dem Regelsatz Bereich hinzu und wählen WiFi-Regel hinzu.

  2. Geben Sie der Regel einen Namen der erklärt, wofür die Regel verwendet wird. Außerdem hilft ein beschreibender Name später dabei, Authentifizierungsanfragen, die von dieser Regel verarbeitet werden, in Ihren Protokollen leicht zu identifizieren.

  3. Vergessen Sie nicht, die Regel zu aktivieren!

Zeigt, wie eine Wi-Fi-Regel hinzugefügt wird

hashtag
Authentifizierung

Unter dem Authentifizierung Bereich ist Ihre erste Wahl, ob Sie zertifikatbasierte oder benutzername-/passwortbasierte Authentifizierung für diese Regel zulassen oder ablehnen möchten.

Zeigt Authentifizierung

hashtag
Zertifikatbasierte Authentifizierung

Für die zertifikatbasierte Authentifizierung haben Sie die folgenden Möglichkeiten, um eingehende Authentifizierungsanfragen weiter einzuschränken.

hashtag
Nur bestimmte CAs zulassen (Vertrauenswürdige CAs)

Dies ermöglicht es Ihnen, eingehende Authentifizierungsanfragen auf bestimmte vertrauenswürdige Stamm- oder ausstellende CAs zu beschränken. Diese CAs können eine Teilmenge aller vertrauenswürdigen Stammzertifikate sein, die Sie auf der RADIUSaaS-Plattform konfiguriert haben.

Zertifikatfilterung anzeigen

hashtag
Filter für Intune-IDs

Dies ist eine historische Einstellung. Wenn sich Ihre Clients mit Zertifikaten authentifizieren, die sie während des AAD-Join erhalten haben, möchten Sie nach Ihrer Intune-Mandanten-ID filtern.

Falls Sie Ihre Mandanten-IDs wie hierbeschrieben eingegeben haben, ist das Standardverhalten von RADIUSaaS, dass nur Maschinen, die ein Zertifikat mit der Erweiterung OID 1.2.840.113556.5.14 und einem auf die Whitelist gesetzten Mandanten-ID-Wert präsentieren, Zugriff auf das Netzwerk erhalten. Mit der Regel-Engine haben Sie nun die Möglichkeit, den Zugriff für eine bestimmte Regel weiter auf bestimmte Intune-IDs einzuschränken oder die Zertifikaterweiterung zu ignorieren. Dadurch können Sie eine Multi-Deployment-Konfiguration haben, in der einige Clients Zertifikate mit der jeweiligen OID mitbringen und einige nicht.

Zeigt Filterung nach Intune-ID

hashtag
Benutzername-/Passwortbasierte Authentifizierung

Nach dem Aktivieren der benutzername-/passwortbasierte Authentifizierung können Sie zusätzliche Filter anwenden, indem Sie einen Regex auf den Benutzernamen. Standardmäßig sind alle Benutzernamen

hashtag
Konfiguration

Unter dem Konfiguration hive können Sie zusätzliche Filterkriterien basierend auf der Herkunft der Authentifizierungsanforderungen konfigurieren sowie VLAN-IDs zuweisen.

hashtag
SSID-Filter

Um einen SSID-Filter festzulegen, wählen Sie entweder Namen oder Gruppen.

  • Wenn Sie Namenauswählen, können Sie mehrere SSIDs.

  • Wenn Sie angeben. Gruppen, SSID-Gruppen.

Zeigt Filterung nach SSID-Namen oder -Gruppe

hashtag
Access-Point-Filter

circle-info

Dieser MAC-Adressfilter erlaubt es Ihnen, bestimmte Access Points mit RADIUSaaS kommunizieren zu lassen. Dies ist kein MAC-Adressfilter für Endgeräte!

Um einen MAC-Adresse-basierten Access-Point-Filter festzulegen, wählen Sie entweder Adressen oder Gruppen.

  • Wenn Sie Adressen, Sie können mehrere Access-Point-MAC-Adressen angeben.

  • Wenn Sie angeben. Gruppen, MAC-Adressgruppen.

Zeigt Auswahl von Access Points nach MAC-Adressen oder Gruppe

Für die MAC-Adressen werden die folgenden Schreibweisen unterstützt:

  • xx-xx-xx-xx-xx-xx

  • xx:xx:xx:xx:xx:xx

  • xxxxxxxxxxxx

circle-info

Ihr Access Point (AP) verwendet höchstwahrscheinlich nicht die LAN-MAC-Adresse, die auf dem Gehäuse des AP aufgedruckt ist und im Verwaltungsportal als primäre MAC-Adresse angezeigt wird. Viele Hersteller erzeugen individuelle/zufällige MAC-Adressen (BSSIDs) für jede einzelne SSID und Frequenz.

Wenn Sie die verwendeten MAC-Adressen in Ihrer AP-Verwaltungsschnittstelle nicht finden können, können Sie auch das "Rule Engine"-Protokoll (im Bereich "Insights") in Ihrer RADIUSaaS-Administrations-Webkonsole konsultieren. Sie finden die vom AP gesendete MAC-Adresse im Feld "AP-MAC".

hashtag
VLAN-Zuweisung

circle-info

Falls Sie herstellerspezifische VLAN-Rückgabeattribute benötigen, können Sie diese verwalten hier.

Die RADIUSaaS-Regel-Engine bietet mehrere Möglichkeiten, Virtual-LAN-IDs zuzuweisen. Die folgenden Optionen sind verfügbar:

hashtag
Die Regel-Engine von RADIUSaaS bietet mehrere Möglichkeiten, zusätzliche RADIUS-Attribute zurückzugeben. Die folgenden Optionen stehen zur Verfügung:

  • Geben Sie statisch die VLAN-ID an, die basierend auf der betreffenden Regel zugewiesen werden soll

hashtag
Geben Sie statisch das/die Rückgabeattribut(e) und deren Wert/Werte an, die basierend auf der zugehörigen Regel zugewiesen werden sollen.

circle-info

Über Zertifikatserweiterung

Derzeit wird in vielen MDM-Systemen, einschließlich Microsoft Intune und JAMF, nicht unterstützt, benutzerdefinierte Zertifikaterweiterungen zu SCEP-Profilen hinzuzufügen. Wir empfehlen daher, stattdessen den Zertifikat-Subject-Namen

  • des Zertifikats zu verwenden, um eine VLAN-Zuweisung hinzuzufügen.

  • Der Filter ist so gesetzt, dass der Wert mit Ihrer angegebenen Erweiterung (OID) übereinstimmt

  • Platzhalterzeichen werden in .* Regex übersetzt

hashtag
Platzhalter werden in .* Regex übersetzt

  • Sie können VLAN-IDs auch basierend auf Eigenschaften im Subject Name Ihres Zertifikats zuweisen

  • Geben Sie dazu an, in welcher Eigenschaft die VLAN-ID gespeichert ist

  • Konfigurieren Sie dann, mit welcher Zeichenfolge die VLAN-ID vorangestellt ist

  • Die VLAN-ID muss nicht unbedingt ein Präfix haben. Es kann jedoch erforderlich sein, ein Präfix zu verwenden, falls Ihr Subject Name dasselbe Attribut mehr als einmal enthält (z. B. sind mehrere CNs recht häufig).

Als Beispiel weist die folgende Regel die VLAN-ID 15 basierend auf dem Subject Name Attribut OU vorgestellt mit vlan-

Zeigt VLAN-Filterung

hashtag
Zusätzliche RADIUS-Attribute

circle-info

RADIUS-Attribut-Rückgabe hier.

Die RADIUSaaS-Regel-Engine bietet mehrere Möglichkeiten, zusätzliche RADIUS-Attribute zurückzugeben (neben der VLAN-ID). Die folgenden Optionen sind verfügbar:

hashtag
Die Regel-Engine von RADIUSaaS bietet mehrere Möglichkeiten, zusätzliche RADIUS-Attribute zurückzugeben. Die folgenden Optionen stehen zur Verfügung:

Statisch

hashtag
Geben Sie statisch das/die Rückgabeattribut(e) und deren Wert/Werte an, die basierend auf der zugehörigen Regel zugewiesen werden sollen.

circle-info

Über Zertifikatserweiterung

Derzeit wird in vielen MDM-Systemen, einschließlich Microsoft Intune und JAMF, nicht unterstützt, benutzerdefinierte Zertifikaterweiterungen zu SCEP-Profilen hinzuzufügen. Wir empfehlen daher, stattdessen den Zertifikat-Subject-Namen

  • des Zertifikats zu verwenden, um eine VLAN-Zuweisung hinzuzufügen.

  • Wählen Sie eine Ihrer erstellten Zertifikaterweiterungen aus

  • Der Filter ist so gesetzt, dass der Wert des angegebenen Rückgabeattributs mit Ihrer angegebenen Erweiterung (OID) übereinstimmt

hashtag
Platzhalter werden in .* Regex übersetzt

  • Über Eigenschaft des Zertifikat-Subject-Namens

  • Sie können zusätzliche RADIUS-Attribute auch basierend auf Eigenschaften im Subject-Namen Ihres Zertifikats zurückgeben

  • Geben Sie dazu an, in welcher Eigenschaft der Wert des Rückgabeattributs gespeichert ist

  • Konfigurieren Sie dann, mit welcher Zeichenfolge der Wert des Rückgabeattributs vorangestellt wird Der im Subject-Name-Attribut angegebene Wert muss nicht zwingend ein Präfix haben. Es kann jedoch erforderlich sein, ein Präfix zu verwenden, falls Ihr Subject Name dasselbe Attribut mehr als einmal enthält (z. B. sind mehrere CNs recht häufig).

Zuletzt aktualisiert

War das hilfreich?