LAN
Notions de base
Pour créer une règle LAN, ajoutez un élément sous le Groupe de règles ruche et sélectionnez Règle LAN.
Donnez à la règle un Nom qui explique l'utilisation de la règle. De plus, un nom descriptif vous aidera à identifier facilement ultérieurement dans vos journaux les demandes d'authentification traitées par cette règle.
N'oubliez pas de Activer la règle !
Authentification
Sous la Authentification ruche, votre premier choix est de savoir si vous voulez autoriser ou refuser Basée sur le certificat ou Basée sur le nom d'utilisateur/mot de passe l'authentification pour cette règle.
Authentification basée sur le certificat
Pour l'authentification basée sur le certificat, vous avez les choix suivants pour restreindre davantage les demandes d'authentification entrantes.
Autoriser uniquement des AC spécifiques (AC de confiance)
Cela vous permet de limiter les demandes d'authentification entrantes à des AC racines ou émettrices spécifiques et de confiance. Ces AC peuvent être un sous-ensemble de toutes les racines de confiance que vous avez configurées sur la plateforme RADIUSaaS.
Filtrer par ID Intune
Il s'agit d'un paramètre historique. Si vos clients s'authentifient avec des certificats que vos clients ont reçus lors de l'inscription AAD, vous souhaiterez filtrer par l'ID de locataire Intune.
Si vous avez saisi vos ID de locataire comme décrit ici, le comportement par défaut de RADIUSaaS est que seules les machines présentant un certificat avec l'extension OID 1.2.840.113556.5.14 et une valeur d'ID de locataire sur liste blanche auront accès au réseau. Avec le moteur de règles, vous avez désormais l'option de restreindre davantage l'accès à des ID Intune spécifiques pour une règle donnée ou d'ignorer l'extension du certificat. Cela vous permet d'avoir une configuration multi-déploiement, où certains clients disposent de certificats fournissant l'OID respectif et d'autres non.
Authentification basée sur le nom d'utilisateur/mot de passe
Après avoir activé Basée sur le nom d'utilisateur/mot de passe l'authentification, vous pouvez appliquer un filtrage supplémentaire en configurant une expression régulière sur le Nom d'utilisateur. Par défaut, tous les noms d'utilisateur.
Configuration
Sous la Configuration ruche vous pouvez configurer des critères de filtrage supplémentaires basés sur l'origine des demandes d'authentification ainsi qu'assigner des ID VLAN.
Filtre de commutateur
Ce filtre d'adresse MAC vous permet d'autoriser des commutateurs à communiquer avec RADIUSaaS. Ce n'est pas un filtre d'adresse MAC pour les terminaux !
Pour définir un filtre de commutateur basé sur l'adresse MAC sélectionnez soit Adresses ou Groupes.
Si vous sélectionnez Adresses, vous pouvez spécifier plusieurs adresses MAC de commutateur.
Si vous sélectionnez Groupes, vous pouvez référencer un ou plusieurs de vos Groupes d'adresses MAC.
Les notations suivantes sont prises en charge pour les adresses MAC :
xx-xx-xx-xx-xx-xx
xx:xx:xx:xx:xx:xx
xxxxxxxxxxxx
Assignation VLAN
Si vous avez besoin d'attributs de retour VLAN spécifiques au fournisseur, vous pouvez les gérer ici.
Le moteur de règles RADIUSaaS fournit plusieurs façons d'assigner des identifiants de réseau local virtuel. Les options suivantes sont disponibles :
Statique
Spécifiez de manière statique l'ID VLAN qui doit être assigné en fonction de la règle concernée
Par extension de certificat
Actuellement, il n'est pas pris en charge d'ajouter des extensions de certificat personnalisées aux profils SCEP dans de nombreux systèmes MDM, y compris Microsoft Intune et JAMF.
Nous recommandons donc d'utiliser le Nom du sujet du certificat du certificat à la place pour ajouter une assignation VLAN.
Sélectionnez l'une de vos extensions de certificat créées
Le filtre est configuré pour faire correspondre la valeur à votre extension spécifiée (OID)
Les caractères génériques seront traduits en .* (expression régulière)
Par propriété du nom du sujet du certificat
Vous pouvez également assigner des ID VLAN en fonction des propriétés du nom du sujet de votre certificat. Par exemple, si vous souhaitez assigner le VLAN 15 dans vos règles et que vous utilisez Intune pour définir et déployer votre profil SCEP, vous devrez configurer le format du nom du sujet dans votre profil SCEP tel que CN={{DeviceId}},OU=vlan-15
Une fois le profil déployé, revenez à RADIUSaaS > Règles et spécifiez dans quelle propriété l'ID VLAN est stocké et configurez la chaîne préfixant l'ID VLAN, par ex. vlan-
L'ID VLAN n'a pas besoin d'avoir un préfixe. Cependant, cela peut être utile si votre nom du sujet contient plusieurs fois le même attribut (par exemple, plusieurs CN sont assez courants).
À titre d'exemple, la règle suivante assignera l'ID VLAN 15 en se basant sur l'attribut Nom du sujet de OU préfixé par vlan-
Attributs RADIUS supplémentaires
Si vous avez besoin d'attributs de retour qui ne sont pas disponibles par défaut, veuillez les ajouter ici.
Le moteur de règles RADIUSaaS fournit plusieurs façons de renvoyer des attributs RADIUS supplémentaires (en plus de l'ID VLAN). Les options suivantes sont disponibles :
Statique
Spécifiez de manière statique l(es) attribut(s) de retour et leur(s) valeur(s) qui doivent être assignés en fonction de la règle concernée.
Par extension de certificat
Actuellement, il n'est pas pris en charge d'ajouter des extensions de certificat personnalisées aux profils SCEP dans de nombreux systèmes MDM, y compris Microsoft Intune et JAMF.
Nous recommandons donc d'utiliser le Nom du sujet du certificat du certificat à la place pour ajouter une assignation VLAN.
Sélectionnez l'une de vos extensions de certificat créées
Le filtre est configuré pour faire correspondre la valeur de l'attribut de retour spécifié à votre extension spécifiée (OID)
Les caractères génériques seront traduits en .* (expression régulière)
Par propriété du nom du sujet du certificat
Vous pouvez également renvoyer des attributs RADIUS supplémentaires en fonction des propriétés du nom du sujet de votre certificat
Pour cela, spécifiez dans quelle propriété la valeur de l'attribut de retour est stockée
Ensuite, configurez la chaîne préfixant la valeur de l'attribut de retour
La valeur fournie dans la propriété du nom du sujet n'est pas obligée d'avoir un préfixe. Cependant, il peut être nécessaire d'utiliser un préfixe si votre nom du sujet comporte plusieurs fois le même attribut (par ex. plusieurs CN sont assez courants).
Mis à jour
Ce contenu vous a-t-il été utile ?