Este artículo ha sido traducido automáticamente. La traducción puede contener imprecisiones.
Cambiar a la versión original en inglés.
Ctrlk

WiFi

Conceptos básicos

  1. Para crear una regla de WiFi, añade una elemento en la colección de reglas rama y seleccione Regla WiFi.

  2. Dale a la regla un Nombre que explique para qué se utiliza la regla. Además, un nombre descriptivo te ayudará a identificar fácilmente más adelante en tus registros las solicitudes de autenticación procesadas por esta regla.

  3. No olvides habilitar ¡la regla!

Mostrando cómo añadir una regla Wi‑Fi

Autenticación

En la Autenticación rama, tu primera opción es si quieres permitir o denegar basada en certificado o basada en nombre de usuario/contraseña la autenticación para esta regla.

Mostrando la autenticación

Autenticación basada en certificado

Para la autenticación basada en certificado tienes las siguientes opciones para restringir aún más las solicitudes de autenticación entrantes.

Permitir solo CA específicas (CA de confianza)

Esto te permite limitar las solicitudes de autenticación entrantes a raíces de confianza específicas o a CA emisoras. Esas CA pueden ser un subconjunto de todas las raíces de confianza que has configurado en la plataforma RADIUSaaS.

Mostrando filtrado de certificados

Filtrar por ID de Intune

Esta es una configuración histórica. Si tus clientes se autentican con certificados que recibieron durante el AAD-Join, quieres filtrar por tu ID de inquilino de Intune.

En caso de que hayas introducido tus ID de inquilino como se describe aquí, el comportamiento predeterminado de RADIUSaaS es que solo las máquinas que presenten un certificado con la extensión OID 1.2.840.113556.5.14 y un valor incluido en la lista de permitidos para el ID de inquilino obtendrán acceso a la red. Con el motor de reglas, ahora tienes la opción de restringir aún más el acceso a ID de Intune específicos para una regla concreta o de ignorar la extensión del certificado. Esto te permite tener una configuración de varias implementaciones, en la que algunos clientes vienen con certificados que proporcionan el OID correspondiente y otros no.

Mostrando el filtrado por ID de Intune

Autenticación basada en nombre de usuario/contraseña

Después de habilitar basada en nombre de usuario/contraseña la autenticación, puedes aplicar un filtrado adicional configurando una expresión regular en el Nombre de usuario. El valor predeterminado son todos los nombres de usuario

Configuración

En la Configuración aquí puedes configurar criterios de filtrado adicionales basados en el origen de las solicitudes de autenticación, así como asignar IDs de VLAN.

Filtro de SSID

Para establecer un filtro de SSID, selecciona Nombres o grupos.

  • Si seleccionas Nombres, puedes especificar varios SSIDs.

  • Si seleccionas Grupos, puedes hacer referencia a uno o más de tus Grupos de SSID.

Mostrando el filtrado por nombre o grupo de SSID

Filtro de punto de acceso

Este filtro de dirección MAC te permite permitir específicos puntos de acceso para comunicarse con RADIUSaaS. ¡Este no es un filtro de dirección MAC para endpoints!

Para establecer un basado en dirección MAC filtro de punto de acceso, selecciona Direcciones o grupos.

  • Si seleccionas Direcciones, puedes especificar varias direcciones MAC de puntos de acceso.

  • Si seleccionas Grupos, puedes hacer referencia a uno o más de tus Grupos de direcciones MAC.

Mostrando la selección de puntos de acceso por direcciones MAC o grupo

Se admiten las siguientes notaciones para las direcciones MAC:

  • xx-xx-xx-xx-xx-xx

  • xx:xx:xx:xx:xx:xx

  • xxxxxxxxxxxx

Lo más probable es que tu punto de acceso (AP) no use la dirección MAC de la LAN, que está impresa en la carcasa del AP y se muestra en el portal de administración del AP como dirección MAC primaria. Muchos proveedores generan direcciones MAC individuales/aleatorias (BSSID) para cada SSID y frecuencia.

Si no puedes encontrar las direcciones MAC utilizadas en la interfaz de administración de tu AP, también puedes consultar el registro de "Rule Engine" (en la sección "Insights") en tu consola web de administración de RADIUSaaS. Encontrarás la dirección MAC que tu AP está enviando en el campo "AP-MAC".

Asignación de VLAN

En caso de que necesites atributos de retorno de VLAN específicos del proveedor, puedes administrarlos aquí.

El motor de reglas de RADIUSaaS ofrece varias formas de asignar IDs de LAN virtual. Las siguientes opciones están disponibles:

Estático

  • Especifica estáticamente el ID de VLAN que debe asignarse según la regla relacionada

Por extensión de certificado

Actualmente no se admite añadir extensiones personalizadas de certificado a perfiles SCEP en muchos sistemas MDM, incluidos Microsoft Intune y JAMF.

Por ello, recomendamos usar el nombre del asunto del certificado del certificado en su lugar para añadir una asignación de VLAN.

  • Selecciona una de las extensiones de certificado que has creado

  • El filtro se configura para coincidir con el valor de tu extensión especificada (OID)

  • Los comodines se traducirán a. * Regex

Por propiedad del nombre del asunto del certificado

  • También puedes asignar IDs de VLAN basados en propiedades del Subject Name de tu certificado

  • Por lo tanto, especifica en qué propiedad se almacena el ID de VLAN

  • Luego, configura con qué cadena va precedido el ID de VLAN

  • No es necesario que el ID de VLAN tenga un prefijo. Sin embargo, puede ser necesario usar un prefijo en caso de que tu Subject Name contenga el mismo atributo más de una vez (por ejemplo, varias CN son bastante comunes).

Como ejemplo, la siguiente regla asignará el ID de VLAN 15 según el Subject Name atributo OU con el prefijo vlan-

Mostrando filtrado de VLAN

Atributos RADIUS adicionales

En caso de que necesites atributos de devolución que no estén disponibles de forma predeterminada, añádelos aquí.

El motor de reglas de RADIUSaaS ofrece varias formas de devolver atributos RADIUS adicionales (además del ID de VLAN). Las siguientes opciones están disponibles:

Estático

Especifica de forma estática el o los atributos de devolución y sus valores, que deben asignarse en función de la regla relacionada.

Por extensión de certificado

Actualmente no se admite añadir extensiones personalizadas de certificado a perfiles SCEP en muchos sistemas MDM, incluidos Microsoft Intune y JAMF.

Por ello, recomendamos usar el nombre del asunto del certificado del certificado en su lugar para añadir una asignación de VLAN.

  • Selecciona una de las extensiones de certificado que has creado

  • El filtro se establece para que el valor del atributo de devolución especificado coincida con tu extensión (OID) especificada

  • Los comodines se traducirán a .* Regex

Por propiedad del nombre del asunto del certificado

  • También puedes devolver atributos RADIUS adicionales basados en propiedades del nombre del asunto de tu certificado

  • Para ello, especifica en qué propiedad se almacena el valor del atributo de devolución

  • Luego, configura con qué cadena debe tener como prefijo el valor del atributo de devolución

  • El valor proporcionado en la propiedad del nombre del asunto no necesita tener un prefijo. Sin embargo, puede ser necesario usar un prefijo en caso de que tu nombre del asunto contenga el mismo atributo más de una vez (por ejemplo, varios CN son bastante comunes).

Última actualización

¿Te fue útil?