circle-info
Cet article a été traduit automatiquement. La traduction peut contenir des imprécisions.
Passer à la version originale en anglais.chevron-right
search

Règles

Ceci est la documentation du moteur de règles RADIUSaaS, qui vous permet d'ajouter une couche de sécurité supplémentaire en définissant des règles qui restreignent davantage les demandes d'accès au réseau ou en attribuant des ID VLAN.

hashtag
Général

Toutes les règles que vous avez configurées seront appliquées après une authentification des identifiants réussie, ce qui signifie que les règles ne deviennent effectives qu’après la fourniture d’identifiants d’authentification valides. Cela implique, pour franchir la première barrière d’authentification, que des racines de confiance (authentification basée sur certificat) ou Utilisateurs (authentification basée sur nom d’utilisateur+mot de passe) doivent être ajoutées à votre instance.

hashtag
Règle par défaut

Pour éviter toute perturbation d’une instance existante ou si vous ne souhaitez pas utiliser du tout le moteur de règles, toute authentification est autorisée par défaut si aucune règle n’est définie. Cela est réalisé via notre règle par défaut Toute authentification autorisée.

circle-exclamation

La règle par défaut Toute authentification autorisée exige toujours la présence d’identifiants d’authentification valides pour une authentification réseau réussie.

hashtag
Ordre d’exécution des règles

Si vous avez plusieurs règles configurées, elles seront appliquées dans l’ordre affiché sur votre portail web — de haut en bas.

La seule exception est la Toute authentification autorisée règle, qui sera traitée en dernier recours si elle est configurée. Ceci est particulièrement utile lors d’une phase de déploiement progressive, où vous n’êtes pas certain que vos règles couvrent tous les cas d’utilisation ou emplacements. Toutes les requêtes d’authentification rejetées par les règles précédentes seront alors encore acceptées par la règle par défaut. Dans le tableau de bord, vous pouvez alors observer les appareils/utilisateurs échouant pour toutes les autres règles et corriger/étendre les règles en conséquence.

Si vous finissez par avoir un grand nombre de règles, nous recommandons — dans un souci de maintien d’une haute performance — d’ordonner les règles de sorte que les règles les plus probables soient testées en premier.

Affichage des règles

hashtag
Options de règle

hashtag
Authentification

  • Autoriser uniquement certaines sources d’authentification

    • par ex. WiFi ou LAN (le support VPN est en cours)

  • Autoriser uniquement certains types d’authentification

    • par ex. Certificat ou Nom d’utilisateur+Mot de passe

hashtag
Authentification basée sur certificat

  • Autoriser uniquement certaines AC de confiance (racines ou AC émettrices)

  • Autoriser uniquement certains ID Intune ou ignorer complètement l’attribut du certificat

hashtag
Authentification basée sur nom d’utilisateur/mot de passe

  • Autoriser uniquement les noms d’utilisateur qui correspondent à un motif Regex

hashtag
Configuration

hashtag
Contraintes d’infrastructure

  • Définir quels SSID sont autorisés

  • Définir quels Points d’accès ou commutateurs réseau sont autorisés (basé sur MAC)

hashtag
Attribution VLAN

Attribuer des ID VLAN ...

  • Statiquement

  • En évaluant une extension de certificat

  • En analysant des attributs dans votre certificat nom du sujet

hashtag
Attributs RADIUS de retour supplémentaires

Par défaut, vous pouvez sélectionner dans la liste suivante d’attributs de retour que vous pouvez renvoyer dans le cadre d’une règle correspondante :

  • Filter-Id

  • Fortinet-Group-Name

  • Framed-MTU

  • Tunnel-Password

  • Cisco-AVPair

  • Class

circle-info

Les attributs de retour RADIUS permettent aux administrateurs réseau de définir des paramètres spécifiques pour des utilisateurs ou groupes individuels.

Par exemple,

  • Pour la configuration du profil utilisateur, un attribut peut spécifier la durée maximale de session, les services autorisés (tels que VPN ou Wi‑Fi) et la méthode d’attribution d’adresse IP.

  • Pour l’attribution d’adresses IP dynamiques, un attribut peut spécifier que l’utilisateur doit recevoir une adresse IP statique ou utiliser DHCP pour une attribution dynamique.

  • Pour le contrôle d’accès et l’autorisation, un attribut détermine le niveau d’accès de l’utilisateur (par ex. invité, employé, administrateur) et toutes les restrictions (par ex. limites de temps).

  • Pour la gestion de session, un attribut peut spécifier le délai d’expiration de la session (durée maximale de connexion), le délai d’inactivité (déconnexion après inactivité) et le nombre maximal de connexions simultanées.

  • Pour la qualité de service (QoS), un attribut peut prioriser le trafic vocal par rapport au trafic de données pour un utilisateur spécifique.

Les fournisseurs peuvent créer leurs propres attributs personnalisés (attributs spécifiques au fournisseur ou VSAs). Ceux-ci permettent des fonctionnalités supplémentaires au‑delà des attributs IETF standard. Les VSAs sont encapsulés dans l’attribut standard 26.

Retourner des attributs RADIUS supplémentaires ...

  • Statiquement

  • En évaluant une extension de certificat

  • En analysant des attributs dans votre certificat nom du sujet

Mis à jour

Ce contenu vous a-t-il été utile ?