LAN
Conceptos básicos
Para crear una regla LAN, agregue un elemento bajo el Conjunto de reglas colmena y seleccione Regla LAN.
Dé a la regla un Nombre que explique para qué se usa la regla. Además, un nombre descriptivo le ayudará a identificar fácilmente más tarde en sus registros las solicitudes de autenticación procesadas por esta regla.
No olvide Habilitar ¡la regla!
Autenticación
Bajo la Autenticación colmena, su primera opción es si desea permitir o denegar Basada en certificado o Basada en nombre de usuario/contraseña autenticación para esta regla.
Autenticación basada en certificado
Para la autenticación basada en certificado tiene las siguientes opciones para restringir aún más las solicitudes de autenticación entrantes.
Permitir solo CA específicas (CA de confianza)
Esto le permite limitar las solicitudes de autenticación entrantes a autoridades de certificación raíz o emisoras específicas y de confianza. Esas CA pueden ser un subconjunto de todas las Raíces de confianza que haya configurado en la plataforma RADIUSaaS.
Filtrar por ID de Intune
Esta es una configuración histórica. Si sus clientes se autentican con certificados que sus clientes recibieron durante el AAD-Join, querrá filtrar por su ID de inquilino de Intune.
En caso de que haya ingresado sus ID de inquilino como se describe aquí, el comportamiento predeterminado de RADIUSaaS es que solo las máquinas que presenten un certificado con la extensión OID 1.2.840.113556.5.14 y un valor en la lista blanca para el ID de inquilino obtendrán acceso a la red. Con el motor de reglas, ahora tiene la opción de restringir aún más el acceso a ID de Intune específicos para una regla determinada o de ignorar la extensión del certificado. Esto le permite tener una configuración de implementaciones múltiples, donde algunos clientes vienen con certificados que proporcionan el OID respectivo y otros no.
Autenticación basada en nombre de usuario/contraseña
Después de habilitar la Basada en nombre de usuario/contraseña autenticación, puede aplicar filtrado adicional configurando una expresión regular en el Nombre de usuario . El valor predeterminado son todos los nombres de usuario.
Configuración
Bajo la Configuración colmena puede configurar criterios de filtrado adicionales basados en el origen de las solicitudes de autenticación, así como asignar IDs de VLAN.
Filtro de switch
Este filtro de dirección MAC le permite permitir que determinados conmutadores se comuniquen con RADIUSaaS. ¡Esto no es un filtro de dirección MAC para endpoints!
Para configurar un basado en dirección MAC filtro de switch, seleccione Direcciones o Grupos.
Si selecciona Direcciones, puede especificar varias direcciones MAC de switch.
Si selecciona Grupos, puede hacer referencia a uno o más de sus predefinidos Grupos de direcciones MAC.
Se admiten las siguientes notaciones para las direcciones MAC:
xx-xx-xx-xx-xx-xx
xx:xx:xx:xx:xx:xx
xxxxxxxxxxxx
Asignación de VLAN
El motor de reglas de RADIUSaaS proporciona varias formas de asignar IDs de VLAN. Están disponibles las siguientes opciones:
Estático
Especifique de forma estática el ID de VLAN que debe asignarse según la regla relacionada
Por extensión de certificado
Actualmente no es compatible añadir extensiones de certificado personalizadas a los perfiles SCEP en muchos sistemas MDM, incluidos Microsoft Intune y JAMF.
Por lo tanto, recomendamos usar el Nombre del sujeto del certificado del certificado en su lugar para añadir una asignación de VLAN.
Seleccione una de sus extensiones de certificado creadas
El filtro está configurado para hacer coincidir el valor con su extensión especificada (OID)
Los comodines se traducirán a .* en Regex
Por propiedad del nombre del sujeto del certificado
También puede asignar IDs de VLAN basándose en propiedades del Nombre del sujeto de su certificado. Por ejemplo, si desea asignar la VLAN 15 en sus reglas y utiliza Intune para definir y desplegar su perfil SCEP, deberá configurar el formato del nombre del sujeto en su perfil SCEP, como CN={{DeviceId}},OU=vlan-15
Una vez que el perfil esté desplegado, vuelva a RADIUSaaS > Reglas y especifique en qué propiedad se almacena el ID de VLAN y configure la cadena con la que se prefija el ID de VLAN. p. ej. vlan-
El ID de VLAN no necesita tener un prefijo. Sin embargo, puede ser útil en caso de que su Nombre del sujeto lleve el mismo atributo más de una vez (por ejemplo, varios CN son bastante comunes).
Como ejemplo, la siguiente regla asignará el ID de VLAN 15 basado en el Nombre del sujeto atributo OU prefijado con vlan-
Atributos RADIUS adicionales
En caso de que requiera atributos de retorno que no estén disponibles por defecto, por favor póngase en contacto con nuestro soporte.
El motor de reglas de RADIUSaaS proporciona varias formas de devolver atributos RADIUS adicionales (además del ID de VLAN). Están disponibles las siguientes opciones:
Estático
Especifique de forma estática el/los atributo(s) de retorno y su/s valor(es) que deben asignarse según la regla relacionada.
Por extensión de certificado
Actualmente no es compatible añadir extensiones de certificado personalizadas a los perfiles SCEP en muchos sistemas MDM, incluidos Microsoft Intune y JAMF.
Por lo tanto, recomendamos usar el Nombre del sujeto del certificado del certificado en su lugar para añadir una asignación de VLAN.
Seleccione una de sus extensiones de certificado creadas
El filtro está configurado para hacer coincidir el valor del atributo de retorno especificado con su extensión especificada (OID)
Los comodines se traducirán a .* en Regex
Por propiedad del nombre del sujeto del certificado
También puede devolver atributos RADIUS adicionales basándose en propiedades del Nombre del sujeto de su certificado
Por lo tanto, especifique en qué propiedad se almacena el valor del atributo de retorno
Luego, configure qué cadena se antepone al valor del atributo de retorno
El valor proporcionado en la propiedad del Nombre del sujeto no necesita tener un prefijo. Sin embargo, puede ser necesario usar un prefijo en caso de que su Nombre del sujeto lleve el mismo atributo más de una vez (por ejemplo, varios CN son bastante comunes).
Última actualización
¿Te fue útil?