WiFi
Conceptos básicos
Para crear una regla de WiFi, añade una elemento en la colección de reglas rama y seleccione Regla WiFi.
Dale a la regla un Nombre que explique para qué se utiliza la regla. Además, un nombre descriptivo te ayudará a identificar fácilmente más adelante en tus registros las solicitudes de autenticación procesadas por esta regla.
No olvides habilitar ¡la regla!

Autenticación
En la Autenticación rama, tu primera opción es si quieres permitir o denegar basada en certificado o basada en nombre de usuario/contraseña la autenticación para esta regla.

Autenticación basada en certificado
Para la autenticación basada en certificado tienes las siguientes opciones para restringir aún más las solicitudes de autenticación entrantes.
Permitir solo CA específicas (CA de confianza)
Esto te permite limitar las solicitudes de autenticación entrantes a raíces de confianza específicas o a CA emisoras. Esas CA pueden ser un subconjunto de todas las raíces de confianza que has configurado en la plataforma RADIUSaaS.

Filtrar por ID de Intune
Esta es una configuración histórica. Si tus clientes se autentican con certificados que recibieron durante el AAD-Join, quieres filtrar por tu ID de inquilino de Intune.
En caso de que hayas introducido tus ID de inquilino como se describe aquí, el comportamiento predeterminado de RADIUSaaS es que solo las máquinas que presenten un certificado con la extensión OID 1.2.840.113556.5.14 y un valor incluido en la lista de permitidos para el ID de inquilino obtendrán acceso a la red. Con el motor de reglas, ahora tienes la opción de restringir aún más el acceso a ID de Intune específicos para una regla concreta o de ignorar la extensión del certificado. Esto te permite tener una configuración de varias implementaciones, en la que algunos clientes vienen con certificados que proporcionan el OID correspondiente y otros no.

Autenticación basada en nombre de usuario/contraseña
Después de habilitar basada en nombre de usuario/contraseña la autenticación, puedes aplicar un filtrado adicional configurando una expresión regular en el Nombre de usuario. El valor predeterminado son todos los nombres de usuario

Configuración
En la Configuración aquí puedes configurar criterios de filtrado adicionales basados en el origen de las solicitudes de autenticación, así como asignar IDs de VLAN.
Filtro de SSID
Para establecer un filtro de SSID, selecciona Nombres o grupos.
Si seleccionas Nombres, puedes especificar varios SSIDs.
Si seleccionas Grupos, puedes hacer referencia a uno o más de tus Grupos de SSID.

Filtro de punto de acceso
Este filtro de dirección MAC te permite permitir específicos puntos de acceso para comunicarse con RADIUSaaS. ¡Este no es un filtro de dirección MAC para endpoints!
Para establecer un basado en dirección MAC filtro de punto de acceso, selecciona Direcciones o grupos.
Si seleccionas Direcciones, puedes especificar varias direcciones MAC de puntos de acceso.
Si seleccionas Grupos, puedes hacer referencia a uno o más de tus Grupos de direcciones MAC.

Se admiten las siguientes notaciones para las direcciones MAC:
xx-xx-xx-xx-xx-xx
xx:xx:xx:xx:xx:xx
xxxxxxxxxxxx
Lo más probable es que tu punto de acceso (AP) no use la dirección MAC de la LAN, que está impresa en la carcasa del AP y se muestra en el portal de administración del AP como dirección MAC primaria. Muchos proveedores generan direcciones MAC individuales/aleatorias (BSSID) para cada SSID y frecuencia.
Si no puedes encontrar las direcciones MAC utilizadas en la interfaz de administración de tu AP, también puedes consultar el registro de "Rule Engine" (en la sección "Insights") en tu consola web de administración de RADIUSaaS. Encontrarás la dirección MAC que tu AP está enviando en el campo "AP-MAC".
Asignación de VLAN
En caso de que necesites atributos de retorno de VLAN específicos del proveedor, puedes administrarlos aquí.
El motor de reglas de RADIUSaaS ofrece varias formas de asignar IDs de LAN virtual. Las siguientes opciones están disponibles:
Estático
Especifica estáticamente el ID de VLAN que debe asignarse según la regla relacionada
Por extensión de certificado
Actualmente no se admite añadir extensiones personalizadas de certificado a perfiles SCEP en muchos sistemas MDM, incluidos Microsoft Intune y JAMF.
Por ello, recomendamos usar el nombre del asunto del certificado del certificado en su lugar para añadir una asignación de VLAN.
Selecciona una de las extensiones de certificado que has creado
El filtro se configura para coincidir con el valor de tu extensión especificada (OID)
Los comodines se traducirán a. * Regex

Por propiedad del nombre del asunto del certificado
También puedes asignar IDs de VLAN basados en propiedades del Subject Name de tu certificado
Por lo tanto, especifica en qué propiedad se almacena el ID de VLAN
Luego, configura con qué cadena va precedido el ID de VLAN
No es necesario que el ID de VLAN tenga un prefijo. Sin embargo, puede ser necesario usar un prefijo en caso de que tu Subject Name contenga el mismo atributo más de una vez (por ejemplo, varias CN son bastante comunes).
Como ejemplo, la siguiente regla asignará el ID de VLAN 15 según el Subject Name atributo OU con el prefijo vlan-


Atributos RADIUS adicionales
En caso de que necesites atributos de devolución que no estén disponibles de forma predeterminada, añádelos aquí.
El motor de reglas de RADIUSaaS ofrece varias formas de devolver atributos RADIUS adicionales (además del ID de VLAN). Las siguientes opciones están disponibles:
Estático
Especifica de forma estática el o los atributos de devolución y sus valores, que deben asignarse en función de la regla relacionada.
Por extensión de certificado
Actualmente no se admite añadir extensiones personalizadas de certificado a perfiles SCEP en muchos sistemas MDM, incluidos Microsoft Intune y JAMF.
Por ello, recomendamos usar el nombre del asunto del certificado del certificado en su lugar para añadir una asignación de VLAN.
Selecciona una de las extensiones de certificado que has creado
El filtro se establece para que el valor del atributo de devolución especificado coincida con tu extensión (OID) especificada
Los comodines se traducirán a .* Regex
Por propiedad del nombre del asunto del certificado
También puedes devolver atributos RADIUS adicionales basados en propiedades del nombre del asunto de tu certificado
Para ello, especifica en qué propiedad se almacena el valor del atributo de devolución
Luego, configura con qué cadena debe tener como prefijo el valor del atributo de devolución
El valor proporcionado en la propiedad del nombre del asunto no necesita tener un prefijo. Sin embargo, puede ser necesario usar un prefijo en caso de que tu nombre del asunto contenga el mismo atributo más de una vez (por ejemplo, varios CN son bastante comunes).
Última actualización
¿Te fue útil?