circle-info
Este artículo ha sido traducido automáticamente. La traducción puede contener imprecisiones.
Cambiar a la versión original en inglés.chevron-right
search

Reglas

Esta es la documentación del Motor de Reglas de RADIUSaaS, que le permite agregar otra capa de seguridad definiendo reglas que restrinjan aún más las solicitudes de acceso a la red o asignando IDs de VLAN.

hashtag
General

Todas las reglas que haya configurado se aplicarán después de la autenticación exitosa de credenciales, lo que significa que las reglas solo se vuelven efectivas después de que se hayan proporcionado credenciales de autenticación válidas. Esto implica que, para superar la primera barrera de autenticación, deben añadirse a su instancia credenciales válidas de Raíces de confianza (autenticación basada en certificados) o Usuarios (autenticación basada en Nombre de usuario+Contraseña).

hashtag
Regla predeterminada

Para evitar la interrupción de cualquier instancia existente o en caso de que no desee usar el Motor de Reglas en absoluto, por defecto se permite cualquier autenticación si no se ha definido ninguna regla. Esto se realiza a través de nuestra regla predeterminada Cualquier autenticación permitida.

circle-exclamation

La regla predeterminada Cualquier autenticación permitida aún requiere la presencia de credenciales de autenticación válidas para una autenticación de red exitosa.

hashtag
Orden de ejecución de las reglas

Si tiene varias reglas configuradas, se aplicarán en el orden que ve en su portal web: de arriba hacia abajo.

La única excepción es la Cualquier autenticación permitida regla, que se manejará como paso final en caso de que esté configurada. Esto es especialmente útil durante un escenario de implementación gradual, donde puede no estar seguro de que sus reglas cubran todos los casos de uso o ubicaciones. Todas las solicitudes de autenticación rechazadas por las reglas anteriores serán entonces aceptadas por la regla predeterminada. En el panel podrá observar los dispositivos/usuarios que fallan en todas las demás reglas y corregir/ampliar las reglas en consecuencia.

En caso de que llegue a tener un gran número de reglas, recomendamos, para mantener un alto rendimiento, ordenar las reglas de manera que las más probables sean evaluadas primero.

Mostrar reglas

hashtag
Opciones de regla

hashtag
Autenticación

  • Permitir solo fuentes de autenticación específicas

    • p. ej., WiFi o LAN (el soporte para VPN está en progreso)

  • Permitir solo tipos de autenticación específicos

    • p. ej., Certificado o Nombre de usuario+Contraseña

hashtag
Autenticación basada en certificados

  • Permitir solo CA de confianza específicas (CA raíz o emisoras)

  • Permitir solo ID de Intune específicos o ignorar completamente el atributo del certificado

hashtag
Autenticación basada en nombre de usuario/contraseña

  • Permitir solo nombres de usuario que coincidan con un patrón Regex

hashtag
Configuración

hashtag
Restricciones de infraestructura

  • Defina qué SSID están permitidos

  • Defina qué Puntos de acceso o switches de red están permitidos (basado en MAC)

hashtag
Asignación de VLAN

Asignar IDs de VLAN ...

  • Estáticamente

  • Evaluando una extensión de certificado personalizada

  • Analizando atributos en su certificado nombre del sujeto

hashtag
Atributos RADIUS adicionales de retorno

Por defecto, puede seleccionar de la siguiente lista de atributos de retorno que puede devolver como parte de una regla coincidente:

  • Filter-Id

  • Fortinet-Group-Name

  • Framed-MTU

  • Tunnel-Password

  • Cisco-AVPair

  • Class

circle-info

Los atributos de retorno RADIUS permiten a los administradores de red definir configuraciones específicas para usuarios o grupos individuales.

Por ejemplo,

  • Para la configuración del perfil de usuario, un atributo puede especificar la duración máxima de la sesión, los servicios permitidos (como VPN o Wi‑Fi) y el método de asignación de dirección IP.

  • Para la asignación dinámica de direcciones IP, un atributo podría especificar que el usuario debe recibir una dirección IP estática o usar DHCP para la asignación dinámica.

  • Para el control de acceso y la autorización, un atributo determina el nivel de acceso del usuario (p. ej., invitado, empleado, administrador) y cualquier restricción (p. ej., límites de tiempo).

  • Para la gestión de sesiones, un atributo puede especificar el tiempo de espera de la sesión (cuánto tiempo puede permanecer conectado el usuario), el tiempo de inactividad (desconexión tras inactividad) y el número máximo de inicios de sesión simultáneos.

  • Para la calidad de servicio (QoS), un atributo podría priorizar el tráfico de voz sobre el tráfico de datos para un usuario específico.

Los proveedores pueden crear sus propios atributos personalizados (atributos específicos del proveedor o VSAs). Estos permiten funcionalidad adicional más allá de los atributos estándar de la IETF. Las VSAs están encapsuladas dentro del atributo estándar 26.

Devolver atributos RADIUS adicionales ...

  • Estáticamente

  • Evaluando una extensión de certificado personalizada

  • Analizando atributos en su certificado nombre del sujeto

Última actualización

¿Te fue útil?