circle-info
Cet article a été traduit automatiquement. La traduction peut contenir des imprécisions.
Passer à la version originale en anglais.chevron-right
search

Règles

Ceci est la documentation du moteur de règles RADIUSaaS, qui vous permet d'ajouter une couche supplémentaire de sécurité en définissant des règles qui restreignent davantage les demandes d'accès au réseau ou en attribuant des identifiants VLAN.

hashtag
Général

Toutes les règles que vous avez configurées seront appliquées après une authentification réussie des identifiants, ce qui signifie que les règles ne deviennent effectives qu'après la fourniture d'identifiants d'authentification valides. Cela implique, pour franchir la première barrière d'authentification, que des Autorités de confiance (authentification basée sur certificat) ou Utilisateurs (authentification basée sur nom d'utilisateur+mot de passe) doivent être ajoutés à votre instance.

hashtag
Règle par défaut

Pour éviter toute interruption d'une instance existante ou au cas où vous ne souhaitez pas utiliser le moteur de règles du tout, toute authentification est autorisée si aucune règle n'est définie par défaut. Cela est réalisé via notre règle par défaut Toute authentification autorisée.

circle-exclamation

La règle par défaut Toute authentification autorisée exige néanmoins la présence d'identifiants d'authentification valides pour une authentification réseau réussie.

hashtag
Ordre d'exécution des règles

Si vous avez plusieurs règles configurées, elles seront appliquées dans l'ordre où vous les voyez dans votre portail web - de haut en bas.

La seule exception est la Toute authentification autorisée règle, qui sera traitée en dernier recours si elle est configurée. Ceci est particulièrement utile lors d'une phase de montée en charge, où vous n'êtes peut-être pas certain que vos règles couvrent tous les cas d'utilisation ou emplacements. Toutes les demandes d'authentification rejetées par les règles précédentes seront alors acceptées par la règle par défaut. Dans le tableau de bord, vous pouvez alors observer les appareils/utilisateurs échouant pour toutes les autres règles et corriger/étendre les règles en conséquence.

Si vous finissez par avoir un grand nombre de règles, nous recommandons - pour le maintien d'une haute performance - d'ordonner les règles de manière que les règles les plus probables soient évaluées en premier.

Affichage des règles

hashtag
Options de règle

hashtag
Authentification

  • Autoriser seulement des sources d'authentification spécifiques

    • par ex. WiFi ou LAN (le support VPN est en cours)

  • Autoriser seulement des types d'authentification spécifiques

    • par ex. certificat ou nom d'utilisateur+mot de passe

hashtag
Authentification basée sur certificat

  • Autoriser seulement des autorités de certification de confiance spécifiques (racines ou autorités émettrices)

  • Autoriser seulement des ID Intune spécifiques ou ignorer entièrement l'attribut du certificat

hashtag
Authentification basée sur nom d'utilisateur/mot de passe

  • Autoriser uniquement les noms d'utilisateur qui correspondent à un motif Regex

hashtag
Configuration

hashtag
Contraintes d'infrastructure

  • Définir quels SSID sont autorisés

  • Définir quels Points d'accès ou commutateurs réseau sont autorisés (basé sur MAC)

hashtag
Affectation VLAN

Attribuer des ID VLAN ...

  • Statiquement

  • En évaluant une extension de certificat

  • En analysant les attributs de votre certificat nom du sujet

hashtag
Attributs de retour RADIUS supplémentaires

Par défaut, vous pouvez sélectionner dans la liste suivante d'attributs de retour que vous pouvez renvoyer dans le cadre d'une règle correspondante :

  • Filter-Id

  • Fortinet-Group-Name

  • Framed-MTU

  • Tunnel-Password

  • Cisco-AVPair

  • Class

circle-info

Les attributs de retour RADIUS permettent aux administrateurs réseau de définir des paramètres spécifiques pour des utilisateurs ou groupes individuels.

Par exemple,

  • Pour la configuration du profil utilisateur, un attribut peut spécifier la durée maximale de session, les services autorisés (tels que VPN ou Wi-Fi) et la méthode d'attribution d'adresse IP.

  • Pour l'attribution dynamique d'adresses IP, un attribut peut spécifier que l'utilisateur doit recevoir une adresse IP statique ou utiliser DHCP pour une attribution dynamique.

  • Pour le contrôle d'accès et l'autorisation, un attribut détermine le niveau d'accès de l'utilisateur (par ex. invité, employé, administrateur) et toutes restrictions (par ex. limites temporelles).

  • Pour la gestion des sessions, un attribut peut spécifier le délai d'expiration de la session (durée pendant laquelle l'utilisateur peut rester connecté), le délai d'inactivité (déconnexion après inactivité) et le nombre maximum de connexions simultanées.

  • Pour la qualité de service (QoS), un attribut peut prioriser le trafic vocal par rapport au trafic de données pour un utilisateur spécifique.

Les fournisseurs peuvent créer leurs propres attributs personnalisés (attributs spécifiques au fournisseur ou VSAs). Ceux-ci permettent des fonctionnalités supplémentaires au-delà des attributs IETF standard. Les VSAs sont encapsulés dans l'attribut standard 26.

Retourner des attributs RADIUS supplémentaires ...

  • Statiquement

  • En évaluant une extension de certificat

  • En analysant les attributs de votre certificat nom du sujet

Mis à jour

Ce contenu vous a-t-il été utile ?