# WiFi

## Conceptos básicos

1. Para crear una regla de WiFi, añade una **elemento** en la **colección de reglas** rama y seleccione **Regla WiFi.** 
2. Dale a la regla un **Nombre** que explique para qué se utiliza la regla. Además, un nombre descriptivo te ayudará a identificar fácilmente más adelante en tus registros las solicitudes de autenticación procesadas por esta regla.
3. No olvides **habilitar** ¡la regla!

<figure><img src="/files/a1b26c499107dd75421ae46f9e4f9e68de4be7bd" alt="" width="401"><figcaption><p>Mostrando cómo añadir una regla Wi‑Fi</p></figcaption></figure>

## **Autenticación**&#x20;

En la **Autenticación** rama, tu primera opción es si quieres permitir o denegar **basada en certificado** o **basada en nombre de usuario/contraseña** la autenticación para esta regla.

<figure><img src="/files/889685d7ba332ca1bd01ff4471eebecad1e391ab" alt=""><figcaption><p>Mostrando la autenticación</p></figcaption></figure>

### **Autenticación basada en certificado**

Para la autenticación basada en certificado tienes las siguientes opciones para restringir aún más las solicitudes de autenticación entrantes.

#### Permitir solo CA específicas (CA de confianza)

Esto te permite limitar las solicitudes de autenticación entrantes a raíces de confianza específicas o a CA emisoras. Esas CA pueden ser un subconjunto de todas las raíces de confianza que has configurado en la plataforma RADIUSaaS.

<figure><img src="/files/34da0a53b0f8734ab53c036484aa0a4d70b4d6bb" alt=""><figcaption><p>Mostrando filtrado de certificados</p></figcaption></figure>

#### Filtrar por ID de Intune&#x20;

Esta es una configuración histórica. Si tus clientes se autentican con certificados que recibieron durante el AAD-Join, quieres filtrar por tu ID de inquilino de Intune.&#x20;

En caso de que hayas introducido tus ID de inquilino como se describe [aquí](/es/portal-de-administracion/settings/trusted-roots.md#intune-id), el comportamiento predeterminado de RADIUSaaS es que solo las máquinas que presenten un certificado con la extensión OID **1.2.840.113556.5.14** y un valor incluido en la lista de permitidos para el ID de inquilino obtendrán acceso a la red. Con el motor de reglas, ahora tienes la opción de restringir aún más el acceso a ID de Intune específicos para una regla concreta o de ignorar la extensión del certificado. Esto te permite tener una configuración de varias implementaciones, en la que algunos clientes vienen con certificados que proporcionan el OID correspondiente y otros no.&#x20;

<figure><img src="/files/5d96f2b6020e5b464a83e57cc455ae3079bce20d" alt=""><figcaption><p>Mostrando el filtrado por ID de Intune</p></figcaption></figure>

### Autenticación basada en nombre de usuario/contraseña

Después de habilitar **basada en nombre de usuario/contraseña** la autenticación, puedes aplicar un filtrado adicional configurando una expresión regular en el **Nombre de usuario**. El valor predeterminado son todos los nombres de usuario

<figure><img src="/files/65f1c9e4d203b6b5b8d7ea2c3a05d05be1bd1994" alt=""><figcaption></figcaption></figure>

## Configuración

En la **Configuración** aquí puedes configurar criterios de filtrado adicionales basados en el origen de las solicitudes de autenticación, así como asignar IDs de VLAN.

### Filtro de SSID

Para establecer un filtro de SSID, selecciona **Nombres** o **grupos**.&#x20;

* Si seleccionas **Nombres**, puedes especificar varios **SSIDs.**
* Si seleccionas **Grupos,** puedes hacer referencia a uno o más de tus **Grupos de SSID**.&#x20;

<figure><img src="/files/79fe04fa271bdeaedce827c3385582d148201527" alt=""><figcaption><p>Mostrando el filtrado por nombre o grupo de SSID</p></figcaption></figure>

### Filtro de punto de acceso

{% hint style="info" %}
Este filtro de dirección MAC te permite permitir específicos **puntos de acceso** para comunicarse con RADIUSaaS. **¡Este no es un filtro de dirección MAC para endpoints!**
{% endhint %}

Para establecer un **basado en dirección MAC** filtro de punto de acceso, selecciona **Direcciones** o **grupos**.&#x20;

* Si seleccionas **Direcciones**, puedes especificar varias direcciones MAC de puntos de acces&#x6F;**.**&#x20;
* Si seleccionas **Grupos,** puedes hacer referencia a uno o más de tus **Grupos de direcciones MAC**.&#x20;

<figure><img src="/files/b3c51fa61af919bbbb3b81e57f5e3068387e9dc1" alt="" width="402"><figcaption><p>Mostrando la selección de puntos de acceso por direcciones MAC o grupo</p></figcaption></figure>

Se admiten las siguientes notaciones para las direcciones MAC:

* xx-xx-xx-xx-xx-xx
* xx:xx:xx:xx:xx:xx
* xxxxxxxxxxxx

{% hint style="info" %}
Lo más probable es que tu punto de acceso (AP) no use la dirección MAC de la LAN, que está impresa en la carcasa del AP y se muestra en el portal de administración del AP como dirección MAC primaria. Muchos proveedores generan direcciones MAC individuales/aleatorias (BSSID) para cada SSID y frecuencia.

Si no puedes encontrar las direcciones MAC utilizadas en la interfaz de administración de tu AP, también puedes consultar el registro de "Rule Engine" (en la sección "Insights") en tu consola web de administración de RADIUSaaS. Encontrarás la dirección MAC que tu AP está enviando en el campo "`AP-MAC"`.
{% endhint %}

### Asignación de VLAN

{% hint style="info" %}
En caso de que necesites atributos de retorno de VLAN específicos del proveedor, puedes administrarlos [aquí](/es/portal-de-administracion/settings/rules/general-structure.md#vlan-attributes).
{% endhint %}

El motor de reglas de RADIUSaaS ofrece varias formas de asignar IDs de LAN virtual. Las siguientes opciones están disponibles:

#### Estático

* Especifica estáticamente el ID de VLAN que debe asignarse según la regla relacionada

#### Por extensión de certificado

{% hint style="info" %}
Actualmente no se admite añadir extensiones personalizadas de certificado a perfiles SCEP en muchos sistemas MDM, incluidos Microsoft Intune y JAMF.

Por ello, recomendamos usar el [nombre del asunto del certificado](#by-certificate-subject) del certificado en su lugar para añadir una asignación de VLAN.
{% endhint %}

* Selecciona una de las extensiones de certificado que has creado
* El filtro se configura para coincidir con el valor de tu extensión especificada (OID)
* Los comodines se traducirán a. \* Regex

<figure><img src="/files/ead9c783609fdc376176e02af82459049d564959" alt="" width="402"><figcaption></figcaption></figure>

#### Por propiedad del nombre del asunto del certificado

* También puedes asignar IDs de VLAN basados en propiedades del Subject Name de tu certificado
* Por lo tanto, especifica en qué propiedad se almacena el ID de VLAN
* Luego, configura con qué cadena va precedido el ID de VLAN
* No es necesario que el ID de VLAN tenga un prefijo. Sin embargo, puede ser necesario usar un prefijo en caso de que tu Subject Name contenga el mismo atributo más de una vez (por ejemplo, varias CN son bastante comunes).

Como ejemplo, la siguiente regla asignará el ID de VLAN 15 según el `Subject Name` atributo `OU` con el prefijo `vlan-`

<figure><img src="/files/e01c97a83456d760a3a6f3c1a07ee078566322fa" alt="" width="403"><figcaption><p>Mostrando filtrado de VLAN</p></figcaption></figure>

![](/files/a656fb0d96a23697c7d6f5979280d73985e5069a)

### Atributos RADIUS adicionales

{% hint style="info" %}
En caso de que necesites atributos de devolución que no estén disponibles de forma predeterminada, añádelos [aquí](/es/portal-de-administracion/settings/rules/general-structure.md#radius-attributes).
{% endhint %}

El motor de reglas de RADIUSaaS ofrece varias formas de devolver atributos RADIUS adicionales (además del ID de VLAN). Las siguientes opciones están disponibles:

#### Estático

Especifica de forma estática el o los atributos de devolución y sus valores, que deben asignarse en función de la regla relacionada.

#### Por extensión de certificado

{% hint style="info" %}
Actualmente no se admite añadir extensiones personalizadas de certificado a perfiles SCEP en muchos sistemas MDM, incluidos Microsoft Intune y JAMF.

Por ello, recomendamos usar el [nombre del asunto del certificado](#by-certificate-subject) del certificado en su lugar para añadir una asignación de VLAN.
{% endhint %}

* Selecciona una de las extensiones de certificado que has creado
* El filtro se establece para que el valor del atributo de devolución especificado coincida con tu extensión (OID) especificada
* Los comodines se traducirán a .\* Regex

#### Por propiedad del nombre del asunto del certificado

* También puedes devolver atributos RADIUS adicionales basados en propiedades del nombre del asunto de tu certificado
* Para ello, especifica en qué propiedad se almacena el valor del atributo de devolución
* Luego, configura con qué cadena debe tener como prefijo el valor del atributo de devolución
* El valor proporcionado en la propiedad del nombre del asunto no necesita tener un prefijo. Sin embargo, puede ser necesario usar un prefijo en caso de que tu nombre del asunto contenga el mismo atributo más de una vez (por ejemplo, varios CN son bastante comunes).


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.radiusaas.com/es/portal-de-administracion/settings/rules/wifi.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.