ルール
これは RADIUSaaS ルールエンジンのドキュメントです。ルールエンジンを使うことで、ネットワークアクセス要求をさらに制限したり VLAN ID を割り当てたりして追加のセキュリティ層を加えることができます。
一般
構成したすべてのルールは適用されます 後 成功した資格情報認証の, つまりルールは有効な認証資格情報が提供された後にのみ有効になることを意味します。これは、最初の認証の壁を通過するためには有効な 信頼されたルート (証明書ベースの認証)または ユーザー (ユーザー名+パスワードベースの認証)をインスタンスに追加する必要があることを意味します。
デフォルトルール
既存のインスタンスへの障害を避けるため、またはルールエンジンをまったく使用したくない場合に備えて、デフォルトではルールが定義されていない場合は任意の認証が許可されます。これはデフォルトルールによって実現されています 任意の認証を許可.
デフォルトルールは 任意の認証を許可 それでも、ネットワーク認証の成功には有効な認証資格情報の存在を必要とします。
ルール実行の順序
複数のルールを構成している場合、それらはウェブポータルに表示される順序—上から下—で適用されます。
唯一の例外は 任意の認証を許可 ルールで、構成されている場合は最後のステップとして処理されます。これは特に、ルールがすべてのユースケースや場所を網羅しているか確信が持てない段階的導入(ランプイン)シナリオで役立ちます。前のルールによって拒否されたすべての認証要求は、その後デフォルトルールによって受け入れられます。ダッシュボードでは、他のすべてのルールで失敗しているデバイス/ユーザーを観察し、ルールを適切に修正・拡張することができます。
多数のルールが存在する場合は、高いパフォーマンスを維持するために、最もヒットしそうなルールを先に配置することを推奨します。
ルールオプション
認証
特定の認証ソースのみを許可
例: WiFi または LAN(VPN サポートは進行中)
特定の認証タイプのみを許可
例: 証明書またはユーザー名+パスワード
証明書ベースの認証
特定の信頼できる CA(ルートまたは発行 CA)のみを許可
特定の Intune ID のみを許可するか、証明書属性を完全に無視する
ユーザー名/パスワードベースの認証
Regex パターンに一致するユーザー名のみを許可
構成
インフラストラクチャ制約
どの SSID が許可されるかを定義
どの アクセスポイントまたはネットワークスイッチ が許可される(MAC ベース)
VLAN 割り当て
VLAN ID を割り当て ...
静的に
カスタムを評価して 証明書拡張
証明書の属性を解析して サブジェクト名
追加の RADIUS 返却属性
デフォルトでは、マッチするルールの一部として返すことができる次の返却属性のリストから選択できます:
Filter-Id
Fortinet-Group-Name
Framed-MTU
Tunnel-Password
Cisco-AVPair
Class
RADIUS の返却属性により、ネットワーク管理者は個々のユーザーやグループに対して特定の設定を定義できます。
例えば、
ユーザープロファイル構成では、属性は最大セッション時間、許可されるサービス(VPN や Wi‑Fi など)、および IP アドレス割り当て方法を指定できます。
動的 IP アドレス割り当てでは、属性はユーザーに静的 IP アドレスを割り当てるか、動的割り当てのために DHCP を使用するかを指定する場合があります。
アクセス制御と認可では、属性はユーザーのアクセスレベル(例: ゲスト、従業員、管理者)や制限(例: 時間制限)を決定します。
セッション管理では、属性はセッションタイムアウト(ユーザーが接続を維持できる時間)、アイドルタイムアウト(非アクティブ時の切断)、および同時ログインの最大数を指定できます。
QoS(サービス品質)では、属性は特定のユーザーに対して音声トラフィックをデータトラフィックより優先させることができます。
ベンダーは独自のカスタム属性(ベンダー固有属性または VSA)を作成できます。これにより、標準の IETF 属性を超えた追加機能が可能になります。VSA は標準属性 26 にカプセル化されます。
追加の RADIUS 属性を返す ...
静的に
カスタムを評価して 証明書拡張
証明書の属性を解析して サブジェクト名
最終更新
役に立ちましたか?