circle-info
Este artículo ha sido traducido automáticamente. La traducción puede contener imprecisiones.
Cambiar a la versión original en inglés.chevron-right
search

Permisos y contactos técnicos

Esta es la documentación del Motor de Reglas de RADIUSaaS, que le permite añadir otra capa de seguridad definiendo reglas que restringen aún más las solicitudes de acceso a la red o asignando IDs de VLAN.

hashtag
General

Todas las reglas que hayas configurado se aplicarán después de la autenticación de credenciales exitosa, lo que significa que las reglas solo entran en vigor después de que se hayan proporcionado credenciales de autenticación válidas. Esto implica que, para pasar la primera barrera de autenticación, deben añadirse a tu instancia credenciales válidas de Raíces de confianza (autenticación basada en certificado) o Usuarios (autenticación basada en Nombre de usuario+Contraseña) deben agregarse a tu instancia.

hashtag
Regla predeterminada

Para evitar la interrupción de cualquier instancia existente o en caso de que no quieras usar el Motor de Reglas en absoluto, se permite cualquier autenticación si no se define ninguna regla por defecto. Esto se realiza mediante nuestra regla predeterminada Cualquier autenticación permitida.

circle-exclamation

La regla predeterminada Cualquier autenticación permitida aún requiere la presencia de credenciales de autenticación válidas para una autenticación de red exitosa.

hashtag
Orden de ejecución de las reglas

Si tienes múltiples reglas configuradas, se aplicarán en el orden que ves en tu portal web: de arriba hacia abajo.

La única excepción es la Cualquier autenticación permitida regla, que se manejará como último paso en caso de que esté configurada. Esto es especialmente útil durante un escenario de implementación gradual, donde podrías no estar seguro de que tus reglas cubran todos los casos de uso o ubicaciones. Todas las solicitudes de autenticación rechazadas por las reglas anteriores serán entonces aceptadas por la regla predeterminada. En el panel podrás observar los dispositivos/usuarios que fallan en todas las demás reglas y corregir/ampliar las reglas en consecuencia.

En caso de que termines teniendo un gran número de reglas, recomendamos —por el bien de mantener un alto rendimiento— ordenar las reglas de manera que las más probables se evalúen primero.

Mostrando reglas

hashtag
Opciones de regla

hashtag
Autenticación

  • Permitir solo fuentes de autenticación específicas

    • p. ej. WiFi o LAN (el soporte VPN está en progreso)

  • Permitir solo tipos de autenticación específicos

    • p. ej. Certificado o Nombre de usuario+Contraseña

hashtag
Autenticación basada en certificado

  • Permitir solo CA de confianza específicas (CA raíz o emisoras)

  • Permitir solo ID de Intune específicos o ignorar completamente el atributo del certificado

hashtag
Autenticación basada en nombre de usuario/contraseña

  • Permitir solo nombres de usuario que coincidan con un patrón Regex

hashtag
Configuración

hashtag
Restricciones de infraestructura

  • Define qué SSIDs están permitidos

  • Define qué Puntos de acceso o switches de red están permitidos (basado en MAC)

hashtag
Asignación de VLAN

Asignar IDs de VLAN ...

  • Estáticamente

  • Evaluando una extensión de certificado

  • Analizando atributos en el nombre del sujeto

hashtag
Atributos adicionales de retorno RADIUS

Por defecto, puedes seleccionar de la siguiente lista de atributos de devolución que puedes devolver como parte de una regla coincidente:

  • Filter-Id

  • Fortinet-Group-Name

  • Framed-MTU

  • Tunnel-Password

  • Cisco-AVPair

  • Class

circle-info

Los atributos de retorno RADIUS permiten a los administradores de red definir configuraciones específicas para usuarios o grupos individuales.

Por ejemplo,

  • Para la configuración del perfil de usuario, un atributo puede especificar la duración máxima de la sesión, los servicios permitidos (como VPN o Wi‑Fi) y el método de asignación de dirección IP.

  • Para la asignación dinámica de direcciones IP, un atributo puede especificar que el usuario debe recibir una dirección IP estática o usar DHCP para la asignación dinámica.

  • Para el control de acceso y la autorización, un atributo determina el nivel de acceso del usuario (por ejemplo, invitado, empleado, administrador) y cualquier restricción (por ejemplo, límites de tiempo).

  • Para la gestión de sesiones, un atributo puede especificar el tiempo de espera de la sesión (cuánto tiempo puede permanecer conectado el usuario), el tiempo de espera por inactividad (desconexión tras inactividad) y el máximo de inicios de sesión simultáneos.

  • Para Calidad de Servicio (QoS), un atributo puede priorizar el tráfico de voz sobre el tráfico de datos para un usuario específico.

Los proveedores pueden crear sus propios atributos personalizados (atributos específicos del proveedor o VSAs). Estos permiten funcionalidad adicional más allá de los atributos estándar de la IETF. Las VSAs se encapsulan dentro del atributo estándar 26.

Devolver atributos RADIUS adicionales ...

  • Estáticamente

  • Evaluando una extensión de certificado

  • Analizando atributos en el nombre del sujeto

Última actualización

¿Te fue útil?