VPN

Conceptos básicos

1. Para crear una regla VPN, agregue un elemento bajo el Conjunto de reglas colmena y seleccione Regla VPN.

2. Dé a la regla un Nombre que explique para qué se usa la regla. Además, un nombre descriptivo le ayudará a identificar fácilmente en sus registros las solicitudes de autenticación procesadas por esta regla más adelante.

3. No olvide Habilitar la regla.

Autenticación

Bajo la Autenticación colmena, su primera opción es si desea permitir o rechazar basada en certificados o basada en usuario/contraseña autenticación para esta regla.

Autenticación basada en certificados

Para la autenticación basada en certificados tiene las siguientes opciones para restringir aún más las solicitudes de autenticación entrantes.

Permitir solo CA específicas (CA de confianza)

Esto le permite limitar las solicitudes de autenticación entrantes a CA raíz o emisoras específicas de confianza. Esas CA pueden ser un subconjunto de todas las raíces de confianza que haya configurado en la plataforma RADIUSaaS.

Filtrar por ID de Intune

Esta es una configuración histórica. Si sus clientes se autentican con certificados que recibieron durante el AAD-Join, querrá filtrar por su ID de tenant de Intune.

En caso de que haya introducido sus IDs de tenant como se describe aquí, el comportamiento predeterminado de RADIUSaaS es que solo las máquinas que presenten un certificado con la extensión OID 1.2.840.113556.5.14 y un valor en la lista blanca para el ID de tenant obtendrán acceso a la red. Con el motor de reglas, ahora tiene la opción de restringir aún más el acceso a IDs de Intune específicos para una regla concreta o de ignorar la extensión del certificado. Esto le permite tener una configuración de implementación múltiple, donde algunos clientes traen certificados que proporcionan el OID respectivo y otros no.

Autenticación basada en usuario/contraseña

Después de habilitar basada en usuario/contraseña la autenticación, puede aplicar un filtrado adicional configurando una expresión regular en el Nombre de usuario. Por defecto son todos los nombres de usuario.

Configuración

Bajo la Configuración colmena puede configurar criterios de filtrado adicionales basados en el origen de las solicitudes de autenticación así como devolver atributos RADIUS adicionales, p. ej. Filter-Id.

Filtro de identificador NAS

Para establecer un filtro de identificador NAS, seleccione Identificadores o Grupos.

• Si selecciona Identificadores, puede especificar múltiples Identificadores.

• Si selecciona Grupos, puede hacer referencia a uno o más de sus Grupos de identificadores NAS.

Filtro de dirección IP NAS

Para establecer un filtro de dirección IP NAS, seleccione IPs o Grupos.

• Si selecciona IPs, puede especificar múltiples IPs.

• Si selecciona Grupos, puede hacer referencia a uno o más de sus Grupos de direcciones IP NAS.

Retorno de atributos RADIUS

El motor de reglas de RADIUSaaS ofrece varias maneras de devolver atributos RADIUS adicionales. Las siguientes opciones están disponibles:

Estático

Especifique de forma estática el/los atributo(s) de retorno y su/s valor(es) que deben asignarse en función de la regla relacionada.

Por extensión de certificado

• Seleccione una de sus extensiones de certificado creadas

• El filtro está configurado para hacer coincidir el valor del atributo de retorno especificado con su extensión (OID) especificada

• Los comodines se traducirán a .* Regex

Por propiedad del nombre del sujeto del certificado

• También puede devolver atributos RADIUS adicionales basados en propiedades en el Nombre del sujeto de su certificado

• Por ello, especifique en qué propiedad se almacena el valor del atributo de retorno

• Luego, configure qué cadena prefija el valor del atributo de retorno

• El valor proporcionado en la propiedad del Nombre del sujeto no está obligado a tener un prefijo. Sin embargo, puede ser necesario usar un prefijo en caso de que su Nombre del sujeto contenga el mismo atributo más de una vez (p. ej., varios CN son bastante comunes).