WiFi
Conceptos básicos
Para crear una regla WiFi, agregue un elemento bajo el Conjunto de reglas colmena y seleccione Regla WiFi.
Dé a la regla un Nombre que explique para qué se usa la regla. Además, un nombre descriptivo le ayudará a identificar fácilmente más tarde en sus registros las solicitudes de autenticación procesadas por esta regla.
No olvide Habilitar ¡la regla!
Autenticación
Bajo la Autenticación colmena, su primera opción es si desea permitir o denegar Basada en certificado o Basada en nombre de usuario/contraseña autenticación para esta regla.
Autenticación basada en certificado
Para la autenticación basada en certificado tiene las siguientes opciones para restringir aún más las solicitudes de autenticación entrantes.
Permitir solo CA específicas (CA de confianza)
Esto le permite limitar las solicitudes de autenticación entrantes a autoridades de certificación raíz o emisoras específicas y de confianza. Esas CA pueden ser un subconjunto de todas las Raíces de confianza que haya configurado en la plataforma RADIUSaaS.
Filtrar por ID de Intune
Esta es una configuración histórica. Si sus clientes se autentican con certificados que sus clientes recibieron durante el AAD-Join, querrá filtrar por su ID de inquilino de Intune.
En caso de que haya ingresado sus ID de inquilino como se describe aquí, el comportamiento predeterminado de RADIUSaaS es que solo las máquinas que presenten un certificado con la extensión OID 1.2.840.113556.5.14 y un valor en la lista blanca para el ID de inquilino obtendrán acceso a la red. Con el motor de reglas, ahora tiene la opción de restringir aún más el acceso a ID de Intune específicos para una regla determinada o de ignorar la extensión del certificado. Esto le permite tener una configuración de implementaciones múltiples, donde algunos clientes vienen con certificados que proporcionan el OID respectivo y otros no.
Autenticación basada en nombre de usuario/contraseña
Después de habilitar la Basada en nombre de usuario/contraseña autenticación, puede aplicar filtrado adicional configurando una expresión regular en el Nombre de usuario. El valor predeterminado es todos los nombres de usuario
Configuración
Bajo la Configuración colmena puede configurar criterios de filtrado adicionales basados en el origen de las solicitudes de autenticación, así como asignar IDs de VLAN.
Filtro SSID
Para establecer un filtro SSID, seleccione Nombres o Grupos.
Si selecciona Nombres , puede especificar varios SSID.
Si selecciona Grupos, puede hacer referencia a uno o más de sus predefinidos Grupos de SSID.
Filtro de punto de acceso
Este filtro de dirección MAC le permite permitir que determinados puntos de acceso se comuniquen con RADIUSaaS. ¡Esto no es un filtro de dirección MAC para endpoints!
Para configurar un basado en dirección MAC filtro de punto de acceso, seleccione Direcciones o Grupos.
Si selecciona Direcciones, puede especificar varias direcciones MAC de puntos de acceso.
Si selecciona Grupos, puede hacer referencia a uno o más de sus predefinidos Grupos de direcciones MAC.
Se admiten las siguientes notaciones para las direcciones MAC:
xx-xx-xx-xx-xx-xx
xx:xx:xx:xx:xx:xx
xxxxxxxxxxxx
Su punto de acceso (AP) probablemente no usará la dirección MAC de LAN que está impresa en la carcasa del AP y mostrada en el portal de administración del AP como dirección MAC primaria. Muchos proveedores generan direcciones MAC individuales/aleatorias (BSSID) para cada SSID y frecuencia.
Si no puede encontrar las direcciones MAC usadas en la interfaz de administración de su AP, también puede consultar el registro "Rule Engine" (en la sección "Insights") en la consola web de administración de RADIUSaaS. Allí encontrará la dirección MAC que su AP está enviando en el campo "AP-MAC".
Asignación de VLAN
El motor de reglas de RADIUSaaS proporciona varias formas de asignar IDs de VLAN. Están disponibles las siguientes opciones:
Estático
Especifique de forma estática el ID de VLAN que debe asignarse según la regla relacionada
Por extensión de certificado
Actualmente no es compatible añadir extensiones de certificado personalizadas a los perfiles SCEP en muchos sistemas MDM, incluidos Microsoft Intune y JAMF.
Por lo tanto, recomendamos usar el Nombre del sujeto del certificado del certificado en su lugar para añadir una asignación de VLAN.
Seleccione una de sus extensiones de certificado creadas
El filtro está configurado para hacer coincidir el valor con su extensión especificada (OID)
Los comodines se traducirán a. * Regex
Por propiedad del nombre del sujeto del certificado
También puede asignar IDs de VLAN basándose en propiedades del Nombre del Sujeto de su certificado
Por lo tanto, especifique en qué propiedad se almacena el ID de VLAN
Luego, configure con qué cadena se prefija el ID de VLAN
El ID de VLAN no requiere tener un prefijo. Sin embargo, puede ser necesario usar un prefijo en caso de que su Nombre del Sujeto lleve el mismo atributo más de una vez (por ejemplo, varios CN son bastante comunes).
Como ejemplo, la siguiente regla asignará el ID de VLAN 15 basado en el Nombre del sujeto atributo OU prefijado con vlan-
Atributos RADIUS adicionales
En caso de que requiera atributos de retorno que no estén disponibles por defecto, por favor póngase en contacto con nuestro soporte.
El motor de reglas de RADIUSaaS proporciona varias formas de devolver atributos RADIUS adicionales (además del ID de VLAN). Están disponibles las siguientes opciones:
Estático
Especifique de forma estática el/los atributo(s) de retorno y su/s valor(es) que deben asignarse según la regla relacionada.
Por extensión de certificado
Actualmente no es compatible añadir extensiones de certificado personalizadas a los perfiles SCEP en muchos sistemas MDM, incluidos Microsoft Intune y JAMF.
Por lo tanto, recomendamos usar el Nombre del sujeto del certificado del certificado en su lugar para añadir una asignación de VLAN.
Seleccione una de sus extensiones de certificado creadas
El filtro está configurado para hacer coincidir el valor del atributo de retorno especificado con su extensión especificada (OID)
Los comodines se traducirán a .* en Regex
Por propiedad del nombre del sujeto del certificado
También puede devolver atributos RADIUS adicionales basándose en propiedades del Nombre del sujeto de su certificado
Por lo tanto, especifique en qué propiedad se almacena el valor del atributo de retorno
Luego, configure qué cadena se antepone al valor del atributo de retorno
El valor proporcionado en la propiedad del Nombre del sujeto no necesita tener un prefijo. Sin embargo, puede ser necesario usar un prefijo en caso de que su Nombre del sujeto lleve el mismo atributo más de una vez (por ejemplo, varios CN son bastante comunes).
Última actualización
¿Te fue útil?