circle-info
Cet article a été traduit automatiquement. La traduction peut contenir des imprécisions.
Passer à la version originale en anglais.chevron-right
search

WiFi

hashtag
Notions de base

  1. Pour créer une règle WiFi, ajoutez un élément sous le Règle de collection ruche et sélectionnez Règle WiFi.

  2. Donnez à la règle un Nom qui explique à quoi sert la règle. De plus, un nom descriptif vous aidera à identifier facilement ultérieurement dans vos journaux les demandes d'authentification traitées par cette règle.

  3. N'oubliez pas de Activer la règle !

Montrer comment ajouter une règle Wi‑Fi

hashtag
Authentification

Sous la Authentification ruche, votre premier choix est de décider si vous voulez autoriser ou refuser Basée sur le certificat ou Basée sur le nom d'utilisateur/mot de passe pour cette règle.

Montrer l'authentification

hashtag
Authentification basée sur le certificat

Pour l'authentification par certificat, vous avez les choix suivants pour restreindre davantage les demandes d'authentification entrantes.

hashtag
Autoriser uniquement des AC spécifiques (AC de confiance)

Cela vous permet de limiter les demandes d'authentification entrantes à des autorités de certification racine ou émettrices spécifiques et de confiance. Ces AC peuvent être un sous-ensemble de toutes les racines de confiance que vous avez configurées sur la plateforme RADIUSaaS.

Affichage du filtrage des certificats

hashtag
Filtrer par ID Intune

Il s'agit d'un paramètre historique. Si vos clients s'authentifient avec des certificats que vos clients ont reçus lors de l'adhésion AAD, vous souhaitez filtrer par votre ID de locataire Intune.

Dans le cas où vous avez saisi vos ID de locataire comme décrit ici, le comportement par défaut de RADIUSaaS est que seules les machines présentant un certificat avec l'extension OID 1.2.840.113556.5.14 et une valeur mise sur liste blanche pour l'ID de locataire auront accès au réseau. Avec le moteur de règles, vous avez désormais la possibilité de restreindre davantage l'accès à des ID Intune spécifiques pour une règle particulière ou d'ignorer l'extension du certificat. Cela vous permet d'avoir une configuration de déploiement multiple, où certains clients arrivent avec des certificats fournissant l'OID correspondant et d'autres non.

Montrer le filtrage par ID Intune

hashtag
Authentification basée sur le nom d'utilisateur/mot de passe

Après avoir activé Basée sur le nom d'utilisateur/mot de passe l'authentification, vous pouvez appliquer des filtrages supplémentaires en configurant une Regex sur le Nom d'utilisateur. Par défaut, tous les noms d'utilisateur

hashtag
Configuration

Sous la Configuration hive vous pouvez configurer des critères de filtrage supplémentaires basés sur l'origine des requêtes d'authentification ainsi que attribuer des ID VLAN.

hashtag
Filtre SSID

Pour définir un filtre SSID, sélectionnez soit Noms ou Groupes.

  • Si vous sélectionnez Noms, vous pouvez spécifier plusieurs SSID.

  • Si vous sélectionnez Groupes, vous pouvez référencer un ou plusieurs de vos Groupes SSID.

Montrer le filtrage par nom SSID ou groupe

hashtag
Filtre Point d'accès

circle-info

Ce filtre d'adresses MAC vous permet d'autoriser des points d'accès à communiquer avec RADIUSaaS. Ceci n'est pas un filtre d'adresse MAC pour les terminaux !

Pour définir un filtre basé sur l'adresse MAC du point d'accès, sélectionnez soit Adresses ou Groupes.

  • Si vous sélectionnez Adresses, vous pouvez spécifier plusieurs adresses MAC de points d'accès.

  • Si vous sélectionnez Groupes, vous pouvez référencer un ou plusieurs de vos Groupes d'adresses MAC.

Montrer la sélection de point d'accès par adresses MAC ou groupe

Les notations suivantes sont prises en charge pour les adresses MAC :

  • xx-xx-xx-xx-xx-xx

  • xx:xx:xx:xx:xx:xx

  • xxxxxxxxxxxx

circle-info

Votre point d'accès (AP) n'utilisera très probablement pas l'adresse MAC LAN imprimée sur le boîtier de l'AP et affichée dans le portail d'administration de l'AP comme adresse MAC principale. De nombreux fournisseurs génèrent des adresses MAC individuelles/aléatoires (BSSID) pour chaque SSID et fréquence.

Si vous ne trouvez pas les adresses MAC utilisées dans l'interface d'administration de votre AP, vous pouvez également consulter le journal "Rule Engine" (dans la section "Insights") dans la console d'administration web de RADIUSaaS. Vous trouverez l'adresse MAC que votre AP envoie dans le champ "AP-MAC".

hashtag
Attribution VLAN

circle-info

Si vous avez besoin d'attributs de retour VLAN spécifiques au fournisseur, vous pouvez les gérer ici.

Le moteur de règles RADIUSaaS propose plusieurs manières d'attribuer des identifiants de réseau local virtuel (VLAN). Les options suivantes sont disponibles :

hashtag
Statique

  • Spécifier statiquement l'ID VLAN qui doit être attribué en fonction de la règle correspondante

hashtag
Par extension de certificat

circle-info

Actuellement, il n'est pas possible d'ajouter des extensions de certificat personnalisées aux profils SCEP dans de nombreux systèmes MDM, y compris Microsoft Intune et JAMF.

Nous recommandons donc d'utiliser le Nom du sujet du certificat du certificat à la place pour ajouter une affectation VLAN.

  • Sélectionnez l'une de vos extensions de certificat créées

  • Le filtre est configuré pour faire correspondre la valeur à votre extension spécifiée (OID)

  • Les jokers seront traduits en .* regex

hashtag
Par propriété du nom du sujet du certificat

  • Vous pouvez également attribuer des ID VLAN en fonction des propriétés du nom du sujet de votre certificat

  • Par conséquent, indiquez dans quelle propriété l'ID VLAN est stocké

  • Ensuite, configurez quelle chaîne préfixe l'ID VLAN

  • L'ID VLAN n'a pas besoin d'avoir un préfixe. Cependant, il peut être nécessaire d'utiliser un préfixe si votre nom du sujet porte le même attribut plusieurs fois (par exemple, plusieurs CN sont assez courants).

À titre d'exemple, la règle suivante attribuera l'ID VLAN 15 en fonction du Nom du sujet attribut OU préfixé par vlan-

Montrer le filtrage VLAN

hashtag
Attributs RADIUS supplémentaires

circle-info

Si vous avez besoin d'attributs de retour qui ne sont pas disponibles par défaut, veuillez les ajouter ici.

Le moteur de règles RADIUSaaS propose plusieurs manières de retourner des attributs RADIUS supplémentaires (en plus de l'ID VLAN). Les options suivantes sont disponibles :

hashtag
Statique

Spécifiez de manière statique l(es) attribut(s) de retour et leur(s) valeur(s) qui doivent être attribués en fonction de la règle concernée.

hashtag
Par extension de certificat

circle-info

Actuellement, il n'est pas possible d'ajouter des extensions de certificat personnalisées aux profils SCEP dans de nombreux systèmes MDM, y compris Microsoft Intune et JAMF.

Nous recommandons donc d'utiliser le Nom du sujet du certificat du certificat à la place pour ajouter une affectation VLAN.

  • Sélectionnez l'une de vos extensions de certificat créées

  • Le filtre est configuré pour faire correspondre la valeur de l'attribut de retour spécifié à votre extension (OID) spécifiée

  • Les jokers seront traduits en .* Regex

hashtag
Par propriété du nom du sujet du certificat

  • Vous pouvez également renvoyer des attributs RADIUS supplémentaires basés sur des propriétés dans le nom du sujet de votre certificat

  • Pour cela, spécifiez dans quelle propriété la valeur de l'attribut de retour est stockée

  • Ensuite, configurez quelle chaîne préfixera la valeur de l'attribut de retour

  • La valeur fournie dans la propriété du nom du sujet n'est pas obligée d'avoir un préfixe. Cependant, il peut être nécessaire d'utiliser un préfixe si votre nom du sujet contient plusieurs fois le même attribut (par ex. plusieurs CN sont assez courants).

Mis à jour

Ce contenu vous a-t-il été utile ?