ルール
これは RADIUSaaS ルールエンジンのドキュメントです。ルールを定義してネットワークアクセス要求をさらに制限したり、VLAN ID を割り当てたりすることで、セキュリティの層を追加できます。
一般
設定したすべてのルールが適用されます 後に 認証情報の認証に成功した後です。つまり、ルールが有効になるのは、有効な認証情報が提供された後になります。これは、最初の認証の壁を通過するために、有効な Trusted Roots (証明書ベースの認証)または ユーザー (ユーザー名+パスワードベースの認証)をインスタンスに追加する必要があることを意味します。
デフォルトルール
既存のインスタンスへの影響を避けるため、またはRule Engineをまったく使用したくない場合、ルールが定義されていなければ、デフォルトですべての認証が許可されます。これはデフォルトルールによって実現されます すべての認証を許可.
デフォルトルール すべての認証を許可 は、ネットワーク認証を成功させるために、有効な認証情報の存在を引き続き必要とします。
ルール実行の順序
複数のルールを設定している場合、それらはWebポータルで表示される順序、つまり上から下へと適用されます。
唯一の例外は すべての認証を許可 ルールで、設定されている場合は最後のステップとして処理されます。これは特に段階的導入のシナリオで役立ちます。すべてのユースケースや場所をルールがカバーしているか確信が持てない場合でも、前のルールで拒否されたすべての認証要求は、デフォルトルールによって引き続き許可されます。ダッシュボードでは、他のすべてのルールで失敗したデバイス/ユーザーを確認し、それに応じてルールを修正・拡張できます。
ルールの数が非常に多くなった場合は、高いパフォーマンスを維持するために、最も発生しやすいルールが最初に一致するような順序で並べることを推奨します。
ルールオプション
認証
特定の認証ソースのみを許可
例: WiFi または LAN(VPN サポートは進行中です)
特定の認証タイプのみを許可
例: 証明書 または ユーザー名+パスワード
証明書ベースの認証
特定の信頼済みCA(ルートCAまたは発行CA)のみを許可
特定の Intune ID のみを許可するか、証明書属性を完全に無視します
ユーザー名/パスワードベースの認証
Regexパターンに一致するユーザー名のみを許可
構成
インフラストラクチャの制約
どの SSID が許可されるかを定義します
どの アクセスポイントまたはネットワークスイッチ が許可される(MACベース)
VLAN割り当て
VLAN ID を割り当て...
静的に
カスタムの 証明書拡張を評価することによって
証明書内の属性を解析することによって サブジェクト名
追加のRADIUS返却属性
既定では、以下の返却属性の一覧から、マッチするルールの一部として返す属性を選択できます:
Filter-Id
Fortinet-Group-Name
Framed-MTU
Tunnel-Password
Cisco-AVPair
Class
RADIUSの返却属性により、ネットワーク管理者は個々のユーザーまたはグループに対して特定の設定を定義できます。
たとえば、
ユーザープロファイルの構成では、属性で最大セッション時間、許可されるサービス(VPNやWi‑Fiなど)、IPアドレス割り当て方式を指定できます。
動的IPアドレス割り当てでは、属性でユーザーに静的IPアドレスを付与するか、DHCPによる動的割り当てを使用するかを指定できます。
アクセス制御と認可では、属性がユーザーのアクセスレベル(例: ゲスト、従業員、管理者)および制限(例: 時間制限)を決定します。
セッション管理では、属性でセッションタイムアウト(ユーザーが接続を維持できる時間)、アイドルタイムアウト(非アクティブ時の切断)、および最大同時ログイン数を指定できます。
サービス品質(QoS)では、属性が特定のユーザーに対して音声トラフィックをデータトラフィックより優先するように指定する場合があります。
ベンダーは独自のカスタム属性(ベンダー固有属性、VSA)を作成できます。これにより、標準のIETF属性を超える追加機能を利用できます。VSAは標準属性26の中にカプセル化されます。
追加のRADIUS属性を返す ...
静的に
カスタムの 証明書拡張を評価することによって
証明書内の属性を解析することによって サブジェクト名
最終更新
役に立ちましたか?