# LAN ## Notions de base 1. Pour créer une règle LAN, ajoutez un **élément** sous le **collection de règles** ruche et sélectionnez **Règle LAN.** 2. Donnez à la règle un **Nom** qui explique à quoi sert la règle. De plus, un nom descriptif vous aidera à identifier facilement plus tard dans vos journaux les demandes d’authentification traitées par cette règle. 3. N’oubliez pas d’ **Activer** la règle !
## **Authentification** Sous la **Authentification** ruche, votre premier choix est de savoir si vous souhaitez autoriser ou refuser **basée sur un certificat** ou **basée sur un nom d’utilisateur/mot de passe** pour cette règle.

Affichage de l’authentification LAN

### **Authentification basée sur un certificat** Pour l’authentification basée sur un certificat, vous disposez des choix suivants pour restreindre davantage les demandes d’authentification entrantes. #### Autoriser uniquement des CA spécifiques (CA approuvées) Cela vous permet de réduire les demandes d’authentification entrantes à des autorités de certification racines ou émettrices de confiance spécifiques. Ces CA peuvent être un sous-ensemble de toutes les racines approuvées que vous avez configurées sur la plateforme RADIUSaaS.

Affichage du filtrage des CA racines approuvées

#### Filtrer par identifiants Intune Il s’agit d’un paramètre historique. Si vos clients s’authentifient avec des certificats qu’ils ont reçus lors de l’AAD-Join, vous devez filtrer par votre ID de Tenant Intune. Si vous avez saisi vos ID de Tenant comme décrit [ici](/fr/portail-dadministration/settings/trusted-roots.md#intune-id), le comportement par défaut de RADIUSaaS est que seules les machines présentant un certificat avec l’OID d’extension **1.2.840.113556.5.14** et une valeur autorisée pour le Tenant ID auront accès au réseau. Avec le moteur de règles, vous avez désormais la possibilité de restreindre davantage l’accès à des ID Intune spécifiques pour une règle donnée ou d’ignorer l’extension du certificat. Cela vous permet d’avoir une configuration multi-déploiement, dans laquelle certains clients arrivent avec des certificats fournissant l’OID correspondant et d’autres non.

Affichage du filtrage des ID Intune

### Authentification basée sur nom d’utilisateur/mot de passe Après avoir activé **basée sur un nom d’utilisateur/mot de passe** l’authentification, vous pouvez appliquer un filtrage supplémentaire en configurant une expression régulière sur le **Nom d’utilisateur**. La valeur par défaut est tous les noms d’utilisateur.

Affichage de l’authentification basée sur nom d’utilisateur / mot de passe

## Configuration Sous la **Configuration** ruche, vous pouvez configurer des critères de filtrage supplémentaires basés sur l’origine des demandes d’authentification ainsi qu’assigner des ID VLAN. ### Filtre de switch {% hint style="info" %} Ce filtre d’adresse MAC vous permet d’autoriser des **commutateurs** à communiquer avec RADIUSaaS. **Il ne s’agit pas d’un filtre d’adresse MAC pour les points de terminaison !** {% endhint %} Pour définir un filtre de commutateur **basé sur l’adresse MAC** , sélectionnez soit **Adresses** ou **Groupes**. * Si vous sélectionnez **Adresses**, vous pouvez spécifier plusieurs adresses MAC de commutateurs**.** * Si vous sélectionnez **Groupes,** vous pouvez référencer un ou plusieurs de vos **Groupes d’adresses MAC**.

Affichage du filtrage des adresses MAC

Les notations suivantes sont prises en charge pour les adresses MAC : * xx-xx-xx-xx-xx-xx * xx:xx:xx:xx:xx:xx * xxxxxxxxxxxx ### Affectation VLAN {% hint style="info" %} Si vous avez besoin d’attributs de retour spécifiques à un fournisseur pour le VLAN, vous pouvez les gérer [ici](/fr/portail-dadministration/settings/rules/general-structure.md#vlan-attributes). {% endhint %} Le moteur de règles RADIUSaaS propose plusieurs façons d’attribuer des ID de Virtual LAN. Les options suivantes sont disponibles : #### Statique * Spécifiez de manière statique l’ID VLAN qui doit être attribué en fonction de la règle correspondante #### Par extension de certificat {% hint style="info" %} Actuellement, il n’est pas possible d’ajouter des extensions de certificat personnalisées aux profils SCEP dans de nombreux systèmes MDM, notamment Microsoft Intune et JAMF. Nous recommandons donc d’utiliser plutôt [le nom du sujet du certificat](#by-certificate-subject-name) du certificat pour ajouter une affectation VLAN. {% endhint %} * Sélectionnez l’une de vos extensions de certificat créées * Le filtre est configuré pour faire correspondre la valeur à votre extension spécifiée (OID) * Les caractères génériques seront traduits en expression régulière .\* #### Par propriété du nom du sujet du certificat Vous pouvez également attribuer des ID VLAN en fonction de propriétés du nom du sujet de votre certificat. Par exemple, si vous souhaitez attribuer le VLAN 15 dans vos règles et que vous utilisez Intune pour définir et déployer votre profil SCEP, vous devrez configurer le **format du nom du sujet** dans votre profil SCEP, par exemple `CN={{DeviceId}},`**`OU=vlan-15`**

Affichage de la configuration de l’ID VLAN dans le certificat de périphérique SCEP

Une fois le profil déployé, retournez dans **RADIUSaaS** > **Règles** et indiquez dans quelle propriété l’ID VLAN est stocké, puis configurez la chaîne avec laquelle l’ID VLAN est préfixé. Par ex. `vlan-` {% hint style="info" %} L’ID VLAN n’a pas besoin d’avoir un préfixe. Cependant, cela peut être utile si votre nom du sujet contient plusieurs fois le même attribut (par ex. plusieurs CN sont assez courants). {% endhint %} À titre d’exemple, la règle suivante attribuera l’ID VLAN 15 en fonction de l’ `Nom du sujet` attribut `OU` préfixé par `vlan-`
![](/files/76f5ff688403fc9b0eb38dd349e5ac7e1d92914b) ### Attributs RADIUS supplémentaires {% hint style="info" %} Si vous avez besoin d’attributs de retour qui ne sont pas disponibles par défaut, veuillez les ajouter [ici](/fr/portail-dadministration/settings/rules/general-structure.md#radius-attributes). {% endhint %} Le moteur de règles RADIUSaaS propose plusieurs façons de renvoyer des attributs RADIUS supplémentaires (en plus de l’ID VLAN). Les options suivantes sont disponibles : #### Statique Spécifiez de manière statique le ou les attributs de retour et leur(s) valeur(s) qui doivent être attribués en fonction de la règle correspondante. #### Par extension de certificat {% hint style="info" %} Actuellement, il n’est pas possible d’ajouter des extensions de certificat personnalisées aux profils SCEP dans de nombreux systèmes MDM, notamment Microsoft Intune et JAMF. Nous recommandons donc d’utiliser plutôt [le nom du sujet du certificat](#by-certificate-subject) du certificat pour ajouter une affectation VLAN. {% endhint %} * Sélectionnez l’une de vos extensions de certificat créées * Le filtre est configuré pour faire correspondre la valeur de l’attribut de retour spécifié à votre extension spécifiée (OID) * Les caractères génériques seront traduits en expression régulière .\* #### Par propriété du nom du sujet du certificat * Vous pouvez également renvoyer des attributs RADIUS supplémentaires en fonction de propriétés du nom du sujet de votre certificat * Par conséquent, indiquez dans quelle propriété la valeur de l’attribut de retour est stockée * Ensuite, configurez la chaîne avec laquelle la valeur de l’attribut de retour est préfixée * La valeur fournie dans la propriété du nom du sujet n’a pas besoin d’avoir un préfixe. Cependant, il peut être nécessaire d’utiliser un préfixe si votre nom du sujet contient plusieurs fois le même attribut (par ex. plusieurs CN sont assez courants). --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.radiusaas.com/fr/portail-dadministration/settings/rules/lan.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.