LAN
Conceptos básicos
Para crear una regla LAN, agregue un elemento bajo el Conjunto de reglas colmena y seleccione Regla LAN.
Dé a la regla un Nombre que explique para qué se utiliza la regla. Además, un nombre descriptivo le ayudará a identificar fácilmente en sus registros las solicitudes de autenticación procesadas por esta regla más adelante.
No olvide Habilitar la regla!
Autenticación
Bajo la Autenticación colmena, su primera opción es si desea permitir o rechazar Basada en certificados o Basada en nombre de usuario/contraseña autenticación para esta regla.
Autenticación basada en certificados
Para la autenticación basada en certificados tiene las siguientes opciones para restringir más las solicitudes de autenticación entrantes.
Permitir solo CA específicas (CA de confianza)
Esto le permite limitar las solicitudes de autenticación entrantes a CA raíz o emisoras de confianza específicas. Esas CA pueden ser un subconjunto de todas las Raíces de confianza que haya configurado en la plataforma RADIUSaaS.
Filtrar por IDs de Intune
Esta es una configuración histórica. Si sus clientes se autenticaron con certificados que recibieron durante la unión a AAD, querrá filtrar por su ID de inquilino de Intune.
En caso de que haya ingresado sus ID de inquilino como se describe aquí, el comportamiento predeterminado de RADIUSaaS es que solo las máquinas que presenten un certificado con la extensión OID 1.2.840.113556.5.14 y un valor en la lista blanca para el ID de inquilino obtendrán acceso a la red. Con el motor de reglas, ahora tiene la opción de restringir aún más el acceso a IDs de Intune específicos para una regla concreta o de ignorar la extensión del certificado. Esto le permite tener una configuración de implementación múltiple, donde algunos clientes vienen con certificados que proporcionan el OID respectivo y otros no.
Autenticación basada en nombre de usuario/contraseña
Después de habilitar Basada en nombre de usuario/contraseña la autenticación, puede aplicar filtrado adicional configurando una expresión regular en el Nombre de usuario. Por defecto son todos los nombres de usuario.
Configuración
Bajo la Configuración colmena puede configurar criterios de filtrado adicionales basados en el origen de las solicitudes de autenticación, así como asignar IDs de VLAN.
Filtro de switch
Este filtro de dirección MAC le permite permitir que switches específicos se comuniquen con RADIUSaaS. ¡Este no es un filtro de dirección MAC para endpoints!
Para establecer un filtro de switch basado en dirección MAC ya sea seleccione Direcciones o Grupos.
Si selecciona Direcciones, puede especificar varias direcciones MAC de switch.
Si selecciona Grupos, puede hacer referencia a uno o más de sus Grupos de direcciones MAC.
Se admiten las siguientes notaciones para las direcciones MAC:
xx-xx-xx-xx-xx-xx
xx:xx:xx:xx:xx:xx
xxxxxxxxxxxx
Asignación de VLAN
En caso de que requiera atributos de retorno de VLAN específicos del proveedor, puede administrarlos aquí.
El motor de reglas de RADIUSaaS ofrece varias formas de asignar IDs de redes VLAN. Las siguientes opciones están disponibles:
Estático
Especifique de forma estática el ID de VLAN que debe asignarse según la regla relacionada
Por extensión de certificado
Actualmente no se admite agregar extensiones de certificado personalizadas a perfiles SCEP en muchos sistemas MDM, incluidos Microsoft Intune y JAMF.
Por lo tanto, recomendamos usar el Nombre de sujeto del certificado del certificado en su lugar para agregar una asignación de VLAN.
Seleccione una de sus extensiones de certificado creadas
El filtro está configurado para hacer coincidir el valor con su extensión especificada (OID)
Los comodines se traducirán a .* en expresiones regulares
Por propiedad del nombre de sujeto del certificado
También puede asignar IDs de VLAN basándose en propiedades del Nombre de sujeto de su certificado. Por ejemplo, si desea asignar la VLAN 15 en sus reglas y está utilizando Intune para definir y desplegar su perfil SCEP, necesitará configurar el formato del nombre de sujeto en su perfil SCEP como CN={{DeviceId}},OU=vlan-15
Una vez que el perfil esté desplegado, vuelva a RADIUSaaS > Reglas y especifique en qué propiedad se almacena el ID de VLAN y configure la cadena con la que se prefija el ID de VLAN. p. ej. vlan-
El ID de VLAN no necesita tener un prefijo. Sin embargo, puede ser útil en caso de que su Nombre de sujeto contenga el mismo atributo más de una vez (p. ej., varios CN son bastante comunes).
Como ejemplo, la siguiente regla asignará el ID de VLAN 15 basado en el Nombre de sujeto atributo OU prefijado con vlan-
Atributos RADIUS adicionales
En caso de que requiera atributos de retorno que no estén disponibles por defecto, por favor añádalos aquí.
El motor de reglas de RADIUSaaS proporciona varias formas de devolver atributos RADIUS adicionales (además del ID de VLAN). Las siguientes opciones están disponibles:
Estático
Especifique de forma estática el/los atributo(s) de retorno y su/s valor(es) que deben asignarse según la regla relacionada.
Por extensión de certificado
Actualmente no se admite agregar extensiones de certificado personalizadas a perfiles SCEP en muchos sistemas MDM, incluidos Microsoft Intune y JAMF.
Por lo tanto, recomendamos usar el Nombre de sujeto del certificado del certificado en su lugar para agregar una asignación de VLAN.
Seleccione una de sus extensiones de certificado creadas
El filtro está configurado para hacer coincidir el valor del atributo de retorno especificado con su extensión especificada (OID)
Los comodines se traducirán a .* en expresiones regulares
Por propiedad del nombre de sujeto del certificado
También puede devolver atributos RADIUS adicionales basándose en propiedades del Nombre de sujeto de su certificado
Para ello, especifique en qué propiedad se almacena el valor del atributo de retorno
Luego, configure qué cadena se prefija al valor del atributo de retorno
El valor proporcionado en la propiedad del Nombre de sujeto no necesita tener un prefijo. Sin embargo, puede ser necesario usar un prefijo en caso de que su Nombre de sujeto contenga el mismo atributo más de una vez (p. ej., varios CN son bastante comunes).
Última actualización
¿Te fue útil?