# LAN ## 基本 1. LAN ルールを作成するには、 **項目を追加し、** の下の **ルールコレクション** ハイブを選択し **LAN Rule.** 2. ルールに **名前** を付けて、そのルールが何に使用されるのかを説明してください。さらに、説明的な名前を付けることで、後でログ内でこのルールによって処理された認証要求を簡単に識別できます。 3. 忘れずに **有効化** してください！

## **認証** の下で **認証** ハイブ、最初の選択は、このルールで **証明書ベースの** または **ユーザー名/パスワードベースの** 認証を許可するか拒否するかです。

### **証明書ベースの認証** 証明書ベースの認証では、受信する認証要求をさらに制限するために、次の選択肢があります。 #### 特定のCAのみを許可する（信頼されたCA）これにより、受信する認証要求を特定の信頼されたルートCAまたは発行CAに絞り込むことができます。これらのCAは、RADIUSaaSプラットフォームで構成したすべての信頼されたルートのサブセットにできます。

#### Intune IDでフィルタこれは履歴的な設定です。クライアントがAAD参加時に受け取った証明書で認証している場合は、IntuneテナントIDでフィルタリングしてください。テナントIDを前述のように入力している場合 [こちら](https://docs.radiusaas.com/ja/ptaru/trusted-roots#intune-id)、RADIUSaaSのデフォルト動作では、OID拡張 **1.2.840.113556.5.14** を持つ証明書と、テナントIDの許可リストに登録された値を提示するマシンのみがネットワークにアクセスできます。ルールエンジンを使用すると、特定のルールに対して特定のIntune IDへのアクセスをさらに制限するか、証明書拡張を無視するかを選択できます。これにより、OIDを提供する証明書を持つクライアントと、持たないクライアントが混在するマルチデプロイ構成を実現できます。

### ユーザー名/パスワードベースの認証有効化後、 **ユーザー名/パスワードベースの** 認証に対して、のRegexを構成することで追加のフィルタリングを適用できます **ユーザー名**。既定値はすべてのユーザー名です。

## 構成の下で **構成** hive では、認証要求の発信元に基づく追加のフィルター条件を構成し、VLAN ID を割り当てることもできます。 ### スイッチフィルター {% hint style="info" %} この MAC アドレスフィルターを使用すると、特定の **スイッチ** を RADIUSaaS と通信するように許可できます。 **これはエンドポイント向けの MAC アドレスフィルターではありません!** {% endhint %} を設定するには **MAC アドレスベースの** スイッチフィルターを、次のいずれかを選択します **アドレス** または **グループ**. * を選択した場合 **アドレス**、複数のスイッチ MAC アドレスを指定できます**.** * を選択した場合 **グループを選択した場合、** 事前定義された **MAC アドレスグループ**.

MAC アドレスでは、次の表記がサポートされています: * xx-xx-xx-xx-xx-xx * xx:xx:xx:xx:xx:xx * xxxxxxxxxxxx ### VLAN の割り当て {% hint style="info" %} ベンダー固有の VLAN 返却属性が必要な場合は、それらを管理できます [こちら](https://docs.radiusaas.com/ja/ptaru/settings/general-structure#vlan-attributes). {% endhint %} RADIUSaaS ルールエンジンには、Virtual-LAN ID を割り当てるためのいくつかの方法があります。使用できるオプションは次のとおりです: #### 静的 * 関連するルールに基づいて割り当てる VLAN ID を静的に指定する #### 証明書拡張による {% hint style="info" %} 現在、Microsoft IntuneやJAMFを含む多くのMDMシステムでは、SCEPプロファイルにカスタム証明書拡張を追加することはサポートされていません。そのため、代わりに [証明書のサブジェクト名](#by-certificate-subject-name) を使用してVLAN割り当てを追加することを推奨します。 {% endhint %} * 作成済みの証明書拡張のいずれかを選択 * フィルターは、指定した拡張子 (OID) に対する Value に一致するように設定されます * ワイルドカードは .\* 正規表現に変換されます #### 証明書サブジェクト名プロパティによる証明書の Subject Name のプロパティに基づいて VLAN ID を割り当てることもできます。たとえば、ルールで VLAN 15 を割り当てたい場合で、Intune を使用して SCEP プロファイルを定義して展開しているなら、 **Subject name format** を SCEP プロファイルで次のように構成する必要があります `CN={{DeviceId}},`**`OU=vlan-15`**

プロファイルが展開されたら、 **RADIUSaaS** > **ルール** に戻り、VLAN ID がどのプロパティに格納されるかを指定し、VLAN ID の前に付く文字列を構成します。例: `vlan-` {% hint style="info" %} VLAN ID にプレフィックスは必須ではありません。ただし、Subject Name に同じ属性が複数回含まれる場合には便利です (例: 複数の CN はかなり一般的です)。 {% endhint %} 例として、次のルールは、 `Subject Name` 属性に基づいて VLAN ID 15 を割り当てます `OU` が付いた `vlan-`

![](https://content.gitbook.com/content/SWU1DQ4UGkqER7uGNUOm/blobs/BkaDrlChuy8gxYtQFwnJ/image.png) ### 追加の RADIUS 属性 {% hint style="info" %} 既定では利用できない返却属性が必要な場合は、それらを追加してください [こちら](https://docs.radiusaas.com/ja/ptaru/settings/general-structure#radius-attributes). {% endhint %} RADIUSaaS ルールエンジンは、追加の RADIUS 属性 (VLAN ID 以外) を返すためのいくつかの方法を提供します。使用できるオプションは次のとおりです: #### 静的関連するルールに基づいて割り当てるべき返却属性とその値を静的に指定します。 #### 証明書拡張による {% hint style="info" %} 現在、Microsoft IntuneやJAMFを含む多くのMDMシステムでは、SCEPプロファイルにカスタム証明書拡張を追加することはサポートされていません。そのため、代わりに [証明書のサブジェクト名](#by-certificate-subject) を使用してVLAN割り当てを追加することを推奨します。 {% endhint %} * 作成済みの証明書拡張のいずれかを選択 * フィルタは、指定した返却属性の値を、指定した拡張（OID）に一致させるよう設定されます * ワイルドカードは .\* 正規表現に変換されます #### 証明書サブジェクト名プロパティによる * 証明書のサブジェクト名内のプロパティに基づいて、追加のRADIUS属性を返すこともできます * そのため、返却属性値がどのプロパティに保存されるかを指定してください * 次に、返却属性値の前に付ける文字列を構成します * サブジェクト名プロパティで指定された値にプレフィックスは必須ではありません。ただし、サブジェクト名が同じ属性を複数回含む場合（例：複数のCNは非常に一般的です）には、プレフィックスの使用が必要になることがあります。