circle-info
Dieser Artikel wurde automatisch übersetzt. Die Übersetzung kann Ungenauigkeiten enthalten.
Zur englischen Originalversion wechseln.chevron-right
search

WiFi

hashtag
Grundlagen

  1. Um eine WiFi-Regel zu erstellen, fügen Sie eine Element unter dem Regelsammlung Bereich und wählen Sie WiFi-Regel hinzu.

  2. Geben Sie der Regel einen Namen der erklärt, wofür die Regel verwendet wird. Außerdem hilft ein beschreibender Name später dabei, Authentifizierungsanfragen, die von dieser Regel verarbeitet werden, in Ihren Protokollen leicht zu identifizieren.

  3. Vergessen Sie nicht, Aktivieren die Regel!

Zeigt, wie man eine Wi-Fi-Regel hinzufügt

hashtag
Authentifizierung

Unter dem Authentifizierung Bereich ist Ihre erste Entscheidung, ob Sie Zertifikatbasierte oder Benutzername/Passwort-basierte Authentifizierung für diese Regel zulassen oder ablehnen möchten.

Zeigt die Authentifizierung

hashtag
Zertifikatbasierte Authentifizierung

Für die zertifikatbasierte Authentifizierung haben Sie die folgenden Möglichkeiten, um eingehende Authentifizierungsanfragen weiter einzuschränken.

hashtag
Nur bestimmte CAs zulassen (Vertrauenswürdige CAs)

Damit können Sie eingehende Authentifizierungsanfragen auf bestimmte vertrauenswürdige Stamm- oder ausstellende CAs eingrenzen. Diese CAs können eine Teilmenge aller vertrauenswürdigen Stammzertifikate sein, die Sie auf der RADIUSaaS-Plattform konfiguriert haben.

Zeigt Zertifikatfilterung an

hashtag
Filter für Intune-IDs

Dies ist eine historische Einstellung. Wenn sich Ihre Clients mit Zertifikaten authentifizieren, die Ihre Clients während des AAD-Join erhalten haben, möchten Sie nach Ihrer Intune Tenant ID filtern.

Falls Sie Ihre Tenant-IDs wie beschrieben eingegeben haben hier, ist das Standardverhalten von RADIUSaaS, dass nur Geräte, die ein Zertifikat mit der Erweiterung OID 1.2.840.113556.5.14 und einem auf die Whitelist gesetzten Wert für die Tenant-ID vorweisen, Zugang zum Netzwerk erhalten. Mit der Regel-Engine haben Sie jetzt die Möglichkeit, den Zugriff für eine bestimmte Regel weiter auf bestimmte Intune-IDs einzuschränken oder die Zertifikatserweiterung zu ignorieren. So können Sie eine Multi-Deployment-Konfiguration haben, bei der einige Clients Zertifikate mit der jeweiligen OID mitbringen und andere nicht.

Zeigt Filterung nach Intune-ID

hashtag
Benutzername/Passwort-basierte Authentifizierung

Nach Aktivierung der Benutzername/Passwort-basierte Authentifizierung können Sie zusätzliche Filter anwenden, indem Sie einen Regex auf dem Benutzername. Standard ist alle Benutzernamen

hashtag
Konfiguration

Unter dem Konfiguration Bereich können Sie zusätzliche Filterkriterien basierend auf der Herkunft von Authentifizierungsanfragen konfigurieren sowie VLAN-IDs zuweisen.

hashtag
SSID-Filter

Um einen SSID-Filter festzulegen, wählen Sie entweder Namen oder Gruppen.

  • Wenn Sie Namenauswählen, können Sie mehrere SSIDs.

  • Wenn Sie Gruppen, können Sie eine oder mehrere Ihrer vordefinierten SSID-Gruppen.

Zeigt Filter nach SSID-Namen oder -Gruppe

hashtag
Access-Point-Filter

circle-info

Dieser MAC-Adressfilter erlaubt es Ihnen, bestimmte Zugangspunkte mit RADIUSaaS kommunizieren zu lassen. Dies ist kein MAC-Adressfilter für Endgeräte!

Um einen MAC-Adressbasierten Access-Point-Filter, wählen Sie entweder Adressen oder Gruppen.

  • Wenn Sie Adressen, Sie können mehrere Access-Point-MAC-Adressen angeben.

  • Wenn Sie Gruppen, können Sie eine oder mehrere Ihrer vordefinierten MAC-Adressgruppen.

Zeigt Access-Point-Auswahl nach MAC-Adressen oder Gruppe

Für die MAC-Adressen werden die folgenden Notationen unterstützt:

  • xx-xx-xx-xx-xx-xx

  • xx:xx:xx:xx:xx:xx

  • xxxxxxxxxxxx

circle-info

Ihr Access Point (AP) verwendet höchstwahrscheinlich nicht die LAN-MAC-Adresse, die auf dem Gehäuse des APs aufgedruckt ist und im Admin-Portal des APs als primäre MAC-Adresse angezeigt wird. Viele Hersteller generieren für jede einzelne SSID und Frequenz individuelle/zufällige MAC-Adressen (BSSIDs).

Wenn Sie die verwendeten MAC-Adressen in der Administrationsoberfläche Ihres AP nicht finden können, können Sie auch das "Rule Engine"-Protokoll (im Abschnitt "Insights") in Ihrer RADIUSaaS-Admin-Webkonsole zu Rate ziehen. Sie finden die MAC-Adresse, die Ihr AP sendet, im Feld "AP-MAC".

hashtag
VLAN-Zuweisung

Die RADIUSaaS-Regel-Engine bietet mehrere Möglichkeiten, Virtual-LAN-IDs zuzuweisen. Die folgenden Optionen sind verfügbar:

hashtag
Statisch

  • Geben Sie statisch die VLAN-ID an, die basierend auf der zugehörigen Regel zugewiesen werden soll

hashtag
Durch Zertifikatserweiterung

circle-info

Derzeit wird es in vielen MDM-Systemen, einschließlich Microsoft Intune und JAMF, nicht unterstützt, benutzerdefinierte Zertifikatserweiterungen zu SCEP-Profilen hinzuzufügen.

Wir empfehlen daher, stattdessen den Zertifikat-Subject-Namen des Zertifikats zu verwenden, um eine VLAN-Zuweisung hinzuzufügen.

  • Wählen Sie eine Ihrer erstellten Zertifikatserweiterungen

  • Der Filter ist so eingestellt, dass der Wert mit Ihrer angegebenen Erweiterung (OID) übereinstimmt

  • Platzhalter werden in .* Regex übersetzt

hashtag
Nach Zertifikat-Subject-Name-Eigenschaft

  • Sie können VLAN-IDs auch basierend auf Eigenschaften im Subject Name Ihres Zertifikats zuweisen

  • Geben Sie daher an, in welcher Eigenschaft die VLAN-ID gespeichert ist

  • Konfigurieren Sie dann, mit welcher Zeichenfolge die VLAN-ID vorangestellt ist

  • Die VLAN-ID muss nicht unbedingt ein Präfix haben. Es kann jedoch erforderlich sein, ein Präfix zu verwenden, falls Ihr Subject Name dasselbe Attribut mehr als einmal enthält (z. B. sind mehrere CNs recht häufig).

Als Beispiel weist die folgende Regel die VLAN-ID 15 basierend auf dem Subject Name Attribut OU vorangestellt mit vlan-

Anzeige der VLAN-Filterung

hashtag
Zusätzliche RADIUS-Attribute

circle-info

Falls Sie Rückgabeattribute benötigen, die standardmäßig nicht verfügbar sind, bitte kontaktieren Sie unseren Supportarrow-up-right.

Die RADIUSaaS-Regel-Engine bietet mehrere Möglichkeiten, zusätzliche RADIUS-Attribute (neben der VLAN-ID) zurückzugeben. Die folgenden Optionen sind verfügbar:

hashtag
Statisch

Geben Sie statisch das/ die Rückgabeattribut(e) und deren Wert(e) an, die basierend auf der zugehörigen Regel zugewiesen werden sollen.

hashtag
Durch Zertifikatserweiterung

circle-info

Derzeit wird es in vielen MDM-Systemen, einschließlich Microsoft Intune und JAMF, nicht unterstützt, benutzerdefinierte Zertifikatserweiterungen zu SCEP-Profilen hinzuzufügen.

Wir empfehlen daher, stattdessen den Zertifikat-Subject-Namen des Zertifikats zu verwenden, um eine VLAN-Zuweisung hinzuzufügen.

  • Wählen Sie eine Ihrer erstellten Zertifikatserweiterungen

  • Der Filter ist so eingestellt, dass der Wert des angegebenen Rückgabeattributs mit Ihrer angegebenen Erweiterung (OID) übereinstimmt

  • Platzhalterzeichen werden in .* Regex übersetzt

hashtag
Nach Zertifikat-Subject-Name-Eigenschaft

  • Sie können auch zusätzliche RADIUS-Attribute basierend auf Eigenschaften im Subject Name Ihres Zertifikats zurückgeben

  • Geben Sie dafür an, in welcher Eigenschaft der Wert des Rückgabeattributs gespeichert ist

  • Konfigurieren Sie dann, mit welchem String der Wert des Rückgabeattributs vorangestellt ist

  • Der im Subject-Name-Feld angegebene Wert muss nicht zwingend ein Präfix haben. Es kann jedoch erforderlich sein, ein Präfix zu verwenden, falls Ihr Subject Name dasselbe Attribut mehr als einmal enthält (z. B. sind mehrere CNs recht häufig).

Zuletzt aktualisiert

War das hilfreich?