Guía genérica
Pasos de configuración
Paso 1: configuración de PKI
Esto es un obligatorio paso.
Puede omitirse si está utilizando RADIUSaaS con autenticación basada en nombre de usuario/contraseña únicamente.
Configure su PKI de manera que los certificados de autenticación de cliente necesarios se envíen automáticamente a sus dispositivos finales.
Si está utilizando alguna de las PKI siguientes, por favor siga las guías relevantes en su lugar:
PKI en la nube de MicrosoftPaso 2: configuración de CA(s) de confianza
Esto es un obligatorio paso.
Indique a su instancia de RADIUSaaS qué certificados de autenticación de cliente estarán permitidos para autenticarse y cómo comprobar si esos certificados siguen siendo válidos:
Certificados de confianzaPaso 3: configuración del certificado del servidor RADIUS
Esto es un obligatorio paso.
Dado que los dispositivos finales establecerán una conexión TLS con RADIUSaaS durante la autenticación de red, RADIUSaaS debe presentar un certificado de servidor al cliente (el Certificado de servidor RADIUS). Este certificado puede generarse directamente desde el Portal de administración de RADIUSaaS o importarse si ya posee un certificado adecuado (traiga el suyo). El mismo certificado de servidor también se utiliza para asegurar la conexión RadSec con sus dispositivos autenticadores (puntos de acceso WiFi, switches, puertas de enlace VPN), si procede.
En caso de que esté de acuerdo en utilizar el integrado CA del cliente, cuya única finalidad es emitir el Certificado de servidor RADIUS, no se requiere ninguna acción adicional como parte de este paso.
En caso de que prefiera traer su propio certificado TLS de servidor, emitido por la CA de su preferencia, por favor siga estos pasos.
Paso 4: configuración del equipo de red
Esto es un obligatorio paso.
RadSec
Si su equipo de red admite el RadSec protocolo, siga los pasos siguientes:
Puntos de acceso WiFi
Para algunos proveedores populares, hemos preparado guías representativas paso a paso sobre cómo configurar la conexión RadSec aquí. Aunque no podemos proporcionar documentación para todos los proveedores, en general, se aplican los siguientes pasos:
Importe su Certificado de servidor RADIUS activo a su infraestructura WiFi.
Agregue el certificado de CA desde el cual sus AP han obtenido su certificado de conexión RadSec a su lista de certificados de confianza como se describe aquí.
Cree un nuevo perfil RADIUS.
Establezca la dirección IP y el puerto de su servidor en su perfil RADIUS. Para ello, utilice la dirección IP pública de RadSec y el puerto estándar de RadSec (2083).
Establezca el Secreto compartido a "radsec", si procede.
Asigne el perfil creado a su(s) SSID(s).
Switches cableados (LAN)
Actualmente, no hemos preparado guías de ejemplo para switches de red aún. Sin embargo, los pasos de configuración son similares a los de los puntos de acceso WiFi. En caso de que tenga dificultades, por favor contáctenos.
RADIUS
Si su equipo de red no admite RadSec, primero debe desplegar proxies que manejen la conversión de protocolo de RADIUS a RadSec :
Configuración del proxyA continuación, proceda a configurar su equipo:
Puntos de acceso WiFi
Para algunos proveedores populares, hemos preparado guías representativas paso a paso aquí. Aunque no podemos proporcionar documentación para todos los proveedores, en general, se aplican los siguientes pasos:
Cree un nuevo perfil RADIUS.
Configure un servidor RADIUS externo:
Como dirección IP del servidor, configure la dirección IP de su funcionalidad de proxy.
Tome el secreto compartido de su Ajustes del servidor página.
Configure los puertos estándar para autenticación RADIUS (1812) y accounting (1813 - opcional).
Asigne el perfil creado a su(s) SSID(s).
Switches cableados (LAN)
Actualmente, no hemos preparado guías de ejemplo para appliances de switch aún. Sin embargo, los pasos de configuración son similares a los de los puntos de acceso WiFi. En caso de que tenga dificultades, por favor contáctenos.
Paso 5: Configure sus perfiles MDM
Esto es un obligatorio paso.
Para Jamf Pro
Recomendamos encarecidamente configurar todos los payloads relevantes para 802.1X en un único Perfil de configuración en Jamf Pro - y un Perfil de configuración por cada tipo de asignación (Computadoras, Dispositivos, Usuarios).
Certificado del servidor
Para permitir la confianza entre sus dispositivos finales y el certificado de servidor que RADIUSaaS presenta durante la autenticación, configure un perfil de certificado de confianza en su solución MDM preferida. Por lo tanto, primero descargue el certificado Root CA que ha emitido su Certificado de servidor RADIUS como se describe aquí.
Al descargar el certificado relevante, asegúrese de solamente icono de descarga el certificado Root CA de su certificado de servidor RADIUS actualmente activo (resaltado en verde) - ¡no la cadena completa ni el propio certificado de servidor RADIUS!
Proceda a distribuir este certificado vía MDM:
Microsoft Intune
Confianza del servidorJamf Pro
Confianza del servidorPerfil WiFi
Para configurar un perfil WiFi en su solución MDM preferida, siga una de estas guías:
Microsoft Intune
Perfil WiFiJamf Pro
Perfil WiFiPerfil cableado (LAN)
Para configurar un perfil cableado (LAN) para sus dispositivos estacionarios en su solución MDM preferida, siga una de estas guías:
Microsoft Intune
Perfil por cableJamf Pro
Perfil por cablePaso 6: Reglas
Esto es un opcionales paso.
Si desea configurar reglas adicionales, por ejemplo para asignar IDs de VLAN o limitar las solicitudes de autenticación a ciertas CA de confianza o puntos de acceso WiFi, por favor consulte el Motor de Reglas de RADIUSaaS.
ReglasÚltima actualización
¿Te fue útil?