Dieser Artikel wurde automatisch übersetzt. Die Übersetzung kann Ungenauigkeiten enthalten.
Zur englischen Originalversion wechseln.
Ctrlk

WiFi

Grundlagen

  1. Um eine WiFi-Regel zu erstellen, fügen Sie eine Element unter dem Regelsammlungs Bereich und wählen Sie WiFi-Regel hinzu.

  2. Geben Sie der Regel einen Namen Namen, der erklärt, wofür die Regel verwendet wird. Außerdem hilft ein aussagekräftiger Name Ihnen später dabei, Authentifizierungsanforderungen, die von dieser Regel verarbeitet werden, in Ihren Protokollen leicht zu identifizieren.

  3. Vergessen Sie nicht, Aktivieren show VPN-Regel

Zeigt, wie eine Wi-Fi-Regel hinzugefügt wird

Authentifizierung

Unter dem Authentifizierung Bereich ist Ihre erste Wahl, ob Sie zertifikatsbasierte oder benutzername-/passwortbasierte Authentifizierung für diese Regel zulassen oder ablehnen möchten.

Zeigt die Authentifizierung

Zertifikatsbasierte Authentifizierung

Für die zertifikatsbasierte Authentifizierung haben Sie die folgenden Möglichkeiten, eingehende Authentifizierungsanforderungen weiter einzuschränken.

Nur bestimmte CAs zulassen (vertrauenswürdige CAs)

Damit können Sie eingehende Authentifizierungsanforderungen auf bestimmte vertrauenswürdige Root- oder ausstellende CAs eingrenzen. Diese CAs können eine Teilmenge aller vertrauenswürdigen Roots sein, die Sie auf der RADIUSaaS-Plattform konfiguriert haben.

Zertifikatsfilterung anzeigen

Nach Intune-IDs filtern

Dies ist eine historische Einstellung. Wenn sich Ihre Clients mit Zertifikaten authentifizieren, die Ihre Clients während des AAD-Join erhalten haben, möchten Sie nach Ihrer Intune-Mandanten-ID filtern.

Falls Sie Ihre Mandanten-IDs wie beschrieben eingegeben haben hier, ist das Standardverhalten von RADIUSaaS, dass nur Maschinen Zugriff auf das Netzwerk erhalten, die ein Zertifikat mit der Erweiterung OID 1.2.840.113556.5.14 und einem auf der Whitelist stehenden Wert für die Mandanten-ID vorlegen. Mit der Regel-Engine haben Sie nun die Möglichkeit, den Zugriff für eine bestimmte Regel weiter auf bestimmte Intune-IDs einzuschränken oder die Zertifikatserweiterung zu ignorieren. Dadurch können Sie ein Multi-Deployment-Setup haben, bei dem einige Clients mit Zertifikaten kommen, die die entsprechende OID enthalten, und andere nicht.

Zeigt das Filtern nach Intune-ID

Benutzername-/Passwortbasierte Authentifizierung

Nach dem Aktivieren benutzername-/passwortbasierte der Authentifizierung können Sie zusätzliche Filterung anwenden, indem Sie einen Regex auf dem Benutzername. Standard ist alle Benutzernamen

Konfiguration

Unter dem Konfiguration Hier können Sie zusätzliche Filterkriterien basierend auf der Herkunft der Authentifizierungsanforderungen konfigurieren sowie VLAN-IDs zuweisen.

SSID-Filter

Um einen SSID-Filter festzulegen, wählen Sie entweder Namen oder Gruppen.

  • Wenn Sie Namenauswählen, können Sie mehrere SSIDs.

  • Wenn Sie Gruppen, können Sie auf eine oder mehrere Ihrer vordefinierten SSID-Gruppen.

Zeigt das Filtern nach SSID-Name oder -Gruppe

Access-Point-Filter

Mit diesem MAC-Adressen-Filter können Sie bestimmte Access Points für die Kommunikation mit RADIUSaaS zulassen. Dies ist kein MAC-Adressen-Filter für Endpunkte!

Um einen MAC-Adressbasierten Access-Point-Filter, wählen Sie entweder Adressen oder Gruppen.

  • Wenn Sie Adressen, Sie können mehrere Access-Point-MAC-Adressen angeben.

  • Wenn Sie Gruppen, können Sie auf eine oder mehrere Ihrer vordefinierten MAC-Adressgruppen.

Zeigt die Auswahl von Access Points nach MAC-Adressen oder Gruppe

Für die MAC-Adressen werden die folgenden Schreibweisen unterstützt:

  • xx-xx-xx-xx-xx-xx

  • xx:xx:xx:xx:xx:xx

  • xxxxxxxxxxxx

Ihr Access Point (AP) verwendet höchstwahrscheinlich nicht die LAN-MAC-Adresse, die auf dem AP-Gehäuse aufgedruckt ist und im AP-Admin-Portal als primäre MAC-Adresse angezeigt wird. Viele Hersteller erzeugen für jede einzelne SSID und Frequenz individuelle/zufällige MAC-Adressen (BSSIDs).

Wenn Sie die verwendeten MAC-Adressen in Ihrer AP-Admin-Oberfläche nicht finden können, können Sie auch das Protokoll "Rule Engine" (im Abschnitt "Insights") in Ihrer RADIUSaaS-Admin-Webkonsole konsultieren. Sie finden die MAC-Adresse, die Ihr AP sendet, im Feld "AP-MAC".

VLAN-Zuweisung

Falls Sie herstellerspezifische VLAN-Return-Attribute benötigen, können Sie diese verwalten hier.

Die RADIUSaaS-Regel-Engine bietet mehrere Möglichkeiten, Virtual-LAN-IDs zuzuweisen. Die folgenden Optionen sind verfügbar:

Statisch

  • Die VLAN-ID statisch angeben, die basierend auf der zugehörigen Regel zugewiesen werden soll

Über Zertifikatserweiterung

Derzeit wird es von vielen MDM-Systemen, einschließlich Microsoft Intune und JAMF, nicht unterstützt, benutzerdefinierte Zertifikatserweiterungen zu SCEP-Profilen hinzuzufügen.

Wir empfehlen daher, stattdessen den Subject Name des Zertifikats zu verwenden, um eine VLAN-Zuweisung hinzuzufügen.

  • Wählen Sie eine Ihrer erstellten Zertifikatserweiterungen aus

  • Der Filter wird so gesetzt, dass der Wert mit Ihrer angegebenen Erweiterung (OID) übereinstimmt

  • Wildcards werden in. * Regex übersetzt

Über Zertifikats-Subject-Name-Eigenschaft

  • Sie können VLAN-IDs auch basierend auf Eigenschaften im Subject Name Ihres Zertifikats zuweisen

  • Geben Sie daher an, in welcher Eigenschaft die VLAN-ID gespeichert ist

  • Konfigurieren Sie anschließend, mit welchem String die VLAN-ID als Präfix versehen wird

  • Die VLAN-ID muss nicht zwingend ein Präfix haben. Es kann jedoch erforderlich sein, ein Präfix zu verwenden, falls Ihr Subject Name dasselbe Attribut mehr als einmal enthält (z. B. sind mehrere CNs recht üblich).

Als Beispiel weist die folgende Regel die VLAN-ID 15 basierend auf dem Subject Name Attribut OU mit dem Präfix vlan-

VLAN-Filterung anzeigen

Zusätzliche RADIUS-Attribute

Falls Sie Rückgabeattribute benötigen, die standardmäßig nicht verfügbar sind, fügen Sie diese bitte hinzu hier.

Die RADIUSaaS-Regel-Engine bietet mehrere Möglichkeiten, zusätzliche RADIUS-Attribute zurückzugeben (neben der VLAN-ID). Die folgenden Optionen sind verfügbar:

Statisch

Geben Sie das/die zurückzugebende(n) Attribut(e) und deren Wert(e) statisch an, die basierend auf der zugehörigen Regel zugewiesen werden sollen.

Über Zertifikatserweiterung

Derzeit wird es von vielen MDM-Systemen, einschließlich Microsoft Intune und JAMF, nicht unterstützt, benutzerdefinierte Zertifikatserweiterungen zu SCEP-Profilen hinzuzufügen.

Wir empfehlen daher, stattdessen den Subject Name des Zertifikats zu verwenden, um eine VLAN-Zuweisung hinzuzufügen.

  • Wählen Sie eine Ihrer erstellten Zertifikatserweiterungen aus

  • Der Filter ist so eingestellt, dass der Wert des angegebenen Rückgabeattributs mit Ihrer angegebenen Erweiterung (OID) übereinstimmt

  • Platzhalter werden in .* Regex übersetzt

Über Zertifikats-Subject-Name-Eigenschaft

  • Sie können zusätzliche RADIUS-Attribute auch basierend auf Eigenschaften im Subject Name Ihres Zertifikats zurückgeben

  • Geben Sie daher an, in welcher Eigenschaft der Wert des Rückgabeattributs gespeichert ist

  • Konfigurieren Sie dann, mit welchem String der Wert des Rückgabeattributs vorangestellt wird

  • Der im Subject Name-Eigenschaft bereitgestellte Wert muss kein Präfix haben. Es kann jedoch erforderlich sein, ein Präfix zu verwenden, falls Ihr Subject Name dasselbe Attribut mehr als einmal enthält (z. B. sind mehrere CNs recht üblich).

Zuletzt aktualisiert

War das hilfreich?