ルール
これはRADIUSaaSルールエンジンのドキュメントであり、ネットワークアクセス要求をさらに制限するルールを定義したり、VLAN IDを割り当てたりすることで追加のセキュリティ層を提供します。
一般
構成したすべてのルールは適用されます の後に 認証情報が正常に認証された場合にのみ有効になり、これは有効な認証情報が提供された後にのみルールが有効になることを意味します。つまり、最初の認証の壁を通過するためには、有効な 信頼されたルート (証明書ベースの認証)または 表示、追加、変更、削除 (ユーザー名+パスワードベースの認証)をインスタンスに追加する必要があります。
デフォルトルール
既存のインスタンスの妨害を避けるため、またはルールエンジンをまったく使用したくない場合、デフォルトではルールが定義されていないときはあらゆる認証が許可されます。これはデフォルトルールによって実現されています すべての認証を許可.
デフォルトルールは すべての認証を許可 それでもネットワーク認証が成功するためには有効な認証情報の存在を要求します。
ルール実行の順序
複数のルールを構成している場合、それらはウェブポータルに表示される順序(上から下へ)で適用されます。
唯一の例外は すべての認証を許可 ルールで、構成されている場合は最後のステップとして処理されます。これは特に、新規導入時のランプインシナリオで役立ちます。ルールがすべてのユースケースや場所をカバーしているか確信が持てない場合、前のルールで拒否されたすべての認証要求はデフォルトルールで受け入れられます。ダッシュボードでは他のすべてのルールで失敗しているデバイス/ユーザーを観察し、ルールを修正・拡張することができます。
多数のルールがある場合は、高いパフォーマンスを維持するために、最もヒットしやすいルールを先に配置することをお勧めします。
ルールオプション
認証
特定の認証ソースのみを許可
例:WiFiまたはLAN(VPNサポートは進行中)
特定の認証タイプのみを許可
例:証明書またはユーザー名+パスワード
証明書ベースの認証
特定の信頼されたCA(ルートまたは発行CA)のみを許可
特定のIntune IDのみを許可するか、証明書属性を完全に無視する
ユーザー名/パスワードベースの認証
正規表現パターンに一致するユーザー名のみを許可
構成
インフラストラクチャの制約
どの SSID が許可されるかを定義する
どの アクセスポイントまたはネットワークスイッチ が許可される(MACベース)
VLAN割り当て
VLAN ID を割り当てる ...
静的に
カスタムを評価して 証明書拡張
証明書の属性を解析して サブジェクト名
このセクションでは、ベンダー固有属性(VSA)を管理できます。ここで構成された属性は、ルール内の「追加のRADIUS返却属性」で使用できます。
デフォルトでは、マッチするルールの一部として返すことができる以下の返却属性のリストから選択できます:
Filter-Id
Fortinet-Group-Name
Framed-MTU
Tunnel-Password
Cisco-AVPair
Class
RADIUSの返却属性により、ネットワーク管理者は個々のユーザーやグループに対して特定の設定を定義できます。
例えば、
ユーザープロファイル構成の場合、属性は最大セッション時間、許可されるサービス(VPNやWi-Fiなど)、およびIPアドレスの割り当て方法を指定できます。
動的IPアドレス割り当ての場合、属性はユーザーに静的IPアドレスを割り当てるべきか、動的割り当てのためにDHCPを使用するかを指定することがあります。
アクセス制御と認可の場合、属性はユーザーのアクセスレベル(例:ゲスト、従業員、管理者)や制限(例:時間制限)を決定します。
セッション管理の場合、属性はセッションタイムアウト(ユーザーが接続を維持できる時間)、アイドルタイムアウト(非アクティブ時の切断)、および最大同時ログイン数を指定できます。
QoS(サービス品質)のために、属性は特定のユーザーの音声トラフィックをデータトラフィックより優先することがあるかもしれません。
ベンダーは独自のカスタム属性(ベンダー固有属性またはVSA)を作成できます。これにより標準のIETF属性を超える追加機能が可能になります。VSAは標準属性26内にカプセル化されます。
追加のRADIUS属性を返す ...
静的に
カスタムを評価して 証明書拡張
証明書の属性を解析して サブジェクト名
最終更新
役に立ちましたか?