# LAN

## Notions de base

1. Pour créer une règle LAN, ajoutez un **élément** sous le **Rule collection** hive et sélectionnez **Règle LAN.** 
2. Donnez à la règle un **Nom** qui explique à quoi sert la règle. De plus, un nom descriptif vous aidera à identifier facilement plus tard dans vos journaux les demandes d’authentification traitées par cette règle.
3. N’oubliez pas de **Activer** la règle !

<figure><img src="https://1168716614-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FUOUphTbSTuuLth3qbJPY%2Fimage.png?alt=media&#x26;token=2db549d8-e8c2-478f-aed2-5359dee73cdf" alt=""><figcaption></figcaption></figure>

## **Authentification**&#x20;

Sous le **Authentification** hive, votre premier choix consiste à décider si vous voulez autoriser ou refuser **authentification par certificat** ou **authentification par nom d’utilisateur/mot de passe** pour cette règle.

<figure><img src="https://1168716614-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FJIHnZ7xbdp7PokWFvhmC%2Fimage.png?alt=media&#x26;token=e3880e99-3190-4526-b5b6-8a1c322c6493" alt=""><figcaption><p>Affichage de l’authentification LAN</p></figcaption></figure>

### **Authentification par certificat**

Pour l’authentification par certificat, vous disposez des विकल्प suivants pour restreindre davantage les demandes d’authentification entrantes.

#### Autoriser uniquement des CA spécifiques (CA approuvées)

Cela vous permet de limiter les demandes d’authentification entrantes à des autorités de certification racine ou émettrices spécifiques et approuvées. Ces CA peuvent être un sous-ensemble de toutes les racines approuvées que vous avez configurées sur la plateforme RADIUSaaS.

<figure><img src="https://1168716614-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2Fc184Hbgpc7A4pXwVijBu%2Fimage.png?alt=media&#x26;token=ef578c60-f94d-45de-b8ae-abb4d0a8c860" alt=""><figcaption><p>Affichage du filtrage des CA racines de confiance</p></figcaption></figure>

#### Filtre pour les ID Intune&#x20;

Il s’agit d’un paramètre historique. Si vos clients s’authentifient avec des certificats qu’ils ont reçus lors de l’AAD-Join, vous devez filtrer sur l’ID de locataire Intune.&#x20;

Si vous avez saisi vos ID de locataire comme décrit [ici](https://docs.radiusaas.com/fr/portail-dadministration/trusted-roots#intune-id), le comportement par défaut de RADIUSaaS est que seules les machines présentant un certificat avec l’extension OID **1.2.840.113556.5.14** et une valeur autorisée pour l’ID de locataire auront accès au réseau. Avec le moteur de règles, vous avez désormais la possibilité de restreindre davantage l’accès à des ID Intune spécifiques pour une règle donnée, ou d’ignorer l’extension du certificat. Cela vous permet de mettre en place un déploiement multi-environnements, où certains clients sont fournis avec des certificats contenant l’OID correspondant et d’autres non.&#x20;

<figure><img src="https://1168716614-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FrCV0pP2IQokPNWmoC7uf%2Fimage.png?alt=media&#x26;token=72ba2cba-a6be-4612-b9e5-cc0ba292927d" alt=""><figcaption><p>Affichage du filtrage par ID Intune</p></figcaption></figure>

### Authentification par nom d’utilisateur/mot de passe

Après avoir activé **authentification par nom d’utilisateur/mot de passe** l’authentification, vous pouvez appliquer un filtrage supplémentaire en configurant une expression régulière sur le **Nom d’utilisateur**. Par défaut, tous les noms d’utilisateur.

<figure><img src="https://1168716614-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FM3HNz7JIAE9cyljyKe6J%2Fimage.png?alt=media&#x26;token=3fe45cc1-a4cd-44b0-9dd7-f4c715f64211" alt=""><figcaption><p>Affichage de l’authentification basée sur nom d’utilisateur / mot de passe</p></figcaption></figure>

## Configuration

Sous le **Configuration** vous pouvez configurer des critères de filtrage supplémentaires basés sur l’origine des demandes d’authentification ainsi qu’attribuer des ID VLAN.

### Filtre de commutateur

{% hint style="info" %}
Ce filtre d’adresse MAC vous permet d’autoriser des **commutateurs** à communiquer avec RADIUSaaS. **Il ne s’agit pas d’un filtre d’adresse MAC pour les points de terminaison !**
{% endhint %}

Pour définir un **basé sur l’adresse MAC** filtre de commutateur, sélectionnez soit **Adresses** ou **Groupes**.&#x20;

* Si vous sélectionnez **Adresses**, vous pouvez spécifier plusieurs adresses MAC de commutateu&#x72;**.**&#x20;
* Si vous sélectionnez **Groupes,** vous pouvez référencer un ou plusieurs de vos **Groupes d’adresses MAC**.&#x20;

<figure><img src="https://1168716614-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FuFN1nqVZ9KsHylsfaENq%2Fimage.png?alt=media&#x26;token=6100905d-d909-434c-9ac9-e8ed295a3a5a" alt=""><figcaption><p>Affichage du filtrage des adresses MAC</p></figcaption></figure>

Les notations suivantes sont prises en charge pour les adresses MAC :

* xx-xx-xx-xx-xx-xx
* xx:xx:xx:xx:xx:xx
* xxxxxxxxxxxx

### Affectation VLAN

{% hint style="info" %}
Si vous avez besoin d’attributs de retour VLAN spécifiques au fournisseur, vous pouvez les gérer [ici](https://docs.radiusaas.com/fr/portail-dadministration/settings/general-structure#vlan-attributes).
{% endhint %}

Le moteur de règles RADIUSaaS offre plusieurs façons d’attribuer des ID de réseau local virtuel (VLAN). Les options suivantes sont disponibles :

#### Statique

* Spécifier statiquement l’ID VLAN qui doit être attribué en fonction de la règle associée

#### Par extension de certificat

{% hint style="info" %}
Actuellement, il n’est pas pris en charge d’ajouter des extensions de certificat personnalisées aux profils SCEP dans de nombreux systèmes MDM, notamment Microsoft Intune et JAMF.

Nous recommandons donc d’utiliser le [Nom du sujet du certificat](#by-certificate-subject-name) du certificat à la place pour ajouter une attribution VLAN.
{% endhint %}

* Sélectionnez l’une de vos extensions de certificat créées
* Le filtre est défini pour faire correspondre la valeur à votre extension spécifiée (OID)
* Les caractères génériques seront traduits en .\* Regex

#### Par propriété du nom du sujet du certificat

Vous pouvez également attribuer des ID VLAN en fonction de propriétés dans le nom du sujet de votre certificat. Par exemple, si vous souhaitez attribuer le VLAN 15 dans vos règles et que vous utilisez Intune pour définir et déployer votre profil SCEP, vous devrez configurer le **Format du nom du sujet** dans votre profil SCEP, par exemple `CN={{DeviceId}},`**`OU=vlan-15`**

<figure><img src="https://1168716614-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2Fsh5zSDL1dCVenDgS8cdq%2Fimage.png?alt=media&#x26;token=2dac4a32-6616-4f8c-8169-29c095cae282" alt=""><figcaption><p>Affichage de la configuration de l’ID VLAN dans le certificat d’appareil SCEP</p></figcaption></figure>

Une fois le profil déployé, revenez à **RADIUSaaS** > **Règles** et indiquez dans quelle propriété l’ID VLAN est stocké, puis configurez la chaîne à laquelle l’ID VLAN est préfixé. par ex. `vlan-`

{% hint style="info" %}
L’ID VLAN n’a pas besoin d’avoir un préfixe. Cependant, cela peut être utile si votre nom du sujet contient plusieurs fois le même attribut (par ex. plusieurs CN sont assez courants).
{% endhint %}

À titre d’exemple, la règle suivante attribuera l’ID VLAN 15 en fonction du `Nom du sujet` attribut `OU` préfixé par `vlan-`

<figure><img src="https://1168716614-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2F5aDliFWCsqDh2dd9wXkr%2Fimage.png?alt=media&#x26;token=a9cd28b9-36dc-4fad-99b8-d55244bc66f8" alt=""><figcaption><p>Affichage du filtrage VLAN</p></figcaption></figure>

![](https://content.gitbook.com/content/SWU1DQ4UGkqER7uGNUOm/blobs/BkaDrlChuy8gxYtQFwnJ/image.png)

### Attributs RADIUS supplémentaires

{% hint style="info" %}
Si vous avez besoin d’attributs de retour qui ne sont pas disponibles par défaut, veuillez les ajouter [ici](https://docs.radiusaas.com/fr/portail-dadministration/settings/general-structure#radius-attributes).
{% endhint %}

Le moteur de règles RADIUSaaS offre plusieurs façons de renvoyer des attributs RADIUS supplémentaires (en plus de l’ID VLAN). Les options suivantes sont disponibles :

#### Statique

Spécifiez de manière statique le ou les attributs de retour et leur(s) valeur(s) qui doivent être attribués en fonction de la règle concernée.

#### Par extension de certificat

{% hint style="info" %}
Actuellement, il n’est pas pris en charge d’ajouter des extensions de certificat personnalisées aux profils SCEP dans de nombreux systèmes MDM, notamment Microsoft Intune et JAMF.

Nous recommandons donc d’utiliser le [Nom du sujet du certificat](#by-certificate-subject) du certificat à la place pour ajouter une attribution VLAN.
{% endhint %}

* Sélectionnez l’une de vos extensions de certificat créées
* Le filtre est configuré pour faire correspondre la valeur de l’attribut de retour spécifié à votre extension (OID) spécifiée
* Les caractères génériques seront traduits en .\* Regex

#### Par propriété du nom du sujet du certificat

* Vous pouvez également renvoyer des attributs RADIUS supplémentaires en fonction des propriétés du nom du sujet de votre certificat
* Par conséquent, spécifiez dans quelle propriété la valeur de l’attribut de retour est stockée
* Ensuite, configurez avec quelle chaîne la valeur de l’attribut de retour doit être précédée
* La valeur fournie dans la propriété du nom du sujet n’a pas besoin d’avoir un préfixe. Cependant, il peut être nécessaire d’utiliser un préfixe si votre nom du sujet comporte plusieurs fois le même attribut (par exemple, plusieurs CN sont assez courants).