circle-info
Este artículo ha sido traducido automáticamente. La traducción puede contener imprecisiones.
Cambiar a la versión original en inglés.chevron-right
search

Reglas

Esta es la documentación del motor de reglas de RADIUSaaS, que le permite añadir otra capa de seguridad definiendo reglas que restrinjan aún más las solicitudes de acceso a la red o asignando ID de VLAN.

hashtag
General

Se aplicarán todas las reglas que haya configurado después de la autenticación exitosa de credenciales, lo que significa que las reglas solo entran en vigor después de que se hayan proporcionado credenciales de autenticación válidas. Esto implica que, para superar la primera barrera de autenticación, se deben añadir credenciales válidas de Trusted Roots (autenticación basada en certificados) o Usuarios (autenticación basada en nombre de usuario y contraseña) a su instancia.

hashtag
Regla predeterminada

Para evitar interrupciones en cualquier instancia existente o en caso de que no desee usar en absoluto el motor de reglas, se permite cualquier autenticación si no hay ninguna regla definida de forma predeterminada. Esto se realiza mediante nuestra regla predeterminada Se permite cualquier autenticación.

circle-exclamation

La regla predeterminada Se permite cualquier autenticación sigue requiriendo la presencia de credenciales de autenticación válidas para una autenticación de red correcta.

hashtag
Orden de ejecución de las reglas

Si tiene varias reglas configuradas, se aplicarán en el orden en que las ve en su portal web: de arriba abajo.

La única excepción es la Se permite cualquier autenticación regla, que se tratará como último paso en caso de que esté configurada. Esto es especialmente útil durante un escenario de introducción progresiva, en el que quizá no esté seguro de que sus reglas cubran todos los casos de uso o ubicaciones. Todas las solicitudes de autenticación rechazadas por las reglas anteriores seguirán siendo aceptadas por la regla predeterminada. En el panel de control podrá observar entonces los dispositivos/usuarios que fallan para todas las demás reglas y corregir/ampliar las reglas en consecuencia.

En caso de que termine teniendo un gran número de reglas, recomendamos, por el bien de mantener un alto rendimiento, ordenar las reglas de manera que las reglas más probables se apliquen primero.

Mostrando reglas

hashtag
Opciones de regla

hashtag
Autenticación

  • Permitir solo fuentes de autenticación específicas

    • p. ej., WiFi o LAN (el soporte para VPN está en progreso)

  • Permitir solo tipos de autenticación específicos

    • p. ej., certificado o nombre de usuario y contraseña

hashtag
Autenticación basada en certificados

  • Permitir solo CA de confianza específicas (CA raíz o emisoras)

  • Permitir solo ID de Intune específicos o ignorar por completo el atributo del certificado

hashtag
Autenticación basada en nombre de usuario y contraseña

  • Permitir solo nombres de usuario que coincidan con un patrón Regex

hashtag
Configuración

hashtag
Restricciones de infraestructura

  • Defina qué SSID están permitidos

  • Defina qué Puntos de acceso o conmutadores de red están permitidos (basado en MAC)

hashtag
Asignación de VLAN

Asignar IDs de VLAN ...

  • Estáticamente

  • Mediante la evaluación de un extensión de certificado

  • Mediante el análisis de atributos en su certificado nombre del sujeto

hashtag
Atributos adicionales de retorno de RADIUS

De forma predeterminada, puede seleccionar de la siguiente lista de atributos de retorno que puede devolver como parte de una regla coincidente:

  • Filter-Id

  • Fortinet-Group-Name

  • Framed-MTU

  • Tunnel-Password

  • Cisco-AVPair

  • Class

circle-info

Los atributos de retorno de RADIUS permiten a los administradores de red definir configuraciones específicas para usuarios o grupos individuales.

Por ejemplo,

  • Para la configuración del perfil de usuario, un atributo puede especificar la duración máxima de la sesión, los servicios permitidos (como VPN o Wi‑Fi) y el método de asignación de dirección IP.

  • Para la asignación dinámica de direcciones IP, un atributo podría especificar que el usuario debe recibir una dirección IP estática o usar DHCP para la asignación dinámica.

  • Para el control de acceso y la autorización, un atributo determina el nivel de acceso del usuario (por ejemplo, invitado, empleado, administrador) y cualquier restricción (por ejemplo, límites de tiempo).

  • Para la gestión de sesiones, un atributo puede especificar el tiempo de espera de la sesión (cuánto tiempo puede permanecer conectado el usuario), el tiempo de inactividad (desconectar tras inactividad) y el número máximo de inicios de sesión simultáneos.

  • Para la calidad de servicio (QoS), un atributo podría priorizar el tráfico de voz sobre el tráfico de datos para un usuario específico.

Los proveedores pueden crear sus propios atributos personalizados (atributos específicos del proveedor o VSA). Estos permiten funcionalidades adicionales más allá de los atributos estándar del IETF. Los VSA se encapsulan dentro del atributo estándar 26.

Devolver atributos adicionales de RADIUS ...

  • Estáticamente

  • Mediante la evaluación de un extensión de certificado

  • Mediante el análisis de atributos en su certificado nombre del sujeto

Última actualización

¿Te fue útil?