Geral
Autenticação
Com que frequência um dispositivo normalmente está a autenticar-se contra o RADIUSaaS?
Isto é difícil de responder, pois depende do comportamento dos seus utilizadores, clientes e equipamentos de rede (APs, NACs, switches). Além disso, é importante notar que o RADIUSaaS não irá nem
disparar uma autenticação nem
enviar uma solicitação de terminação através da sua porta de accounting para o cliente, potencialmente disparando uma reautenticação.
Se achar que os seus dispositivos estão a autenticar-se com muita frequência (várias vezes por hora) sem que o utilizador reinicie constantemente o cliente, então isso pode dever-se às seguintes razões:
O controlador de rede não autentica o cliente com rapidez suficiente para que o cliente entre na rede, pelo que o cliente tenta autenticar-se novamente. Verifique o controlador de rede para ver se/quando ele está a receber uma resposta do RaaS.
O controlador de rede está a reiniciar a autenticação. Verifique o controlador de rede para perceber o que poderá estar a causar isto.
Portal de Administração do RADIUSaaS
Como posso adicionar o Portal de Administração do RADIUSaaS às Minhas Aplicações?
Criar a aplicação
Primeiro, tem de criar uma aplicação empresarial. Para tal, através do Azure Portal, siga estes passos:
Inicie sessão na sua Azure conta
Vá para Microsoft Entra ID
Selecione Aplicações empresariais
Clique em + Nova Aplicação
Clique em + Criar a sua própria aplicação
Dê um nome à aplicação (por exemplo, Portal RADIUSaaS)
Escolha Integrar qualquer outra aplicação que não encontre na galeria e
Clique em Criar
Depois de a aplicação estar configurada, agora precisamos de adicionar utilizadores e configurar o logótipo e a ligação
Adicionar utilizadores e um logótipo
Em Gerir vá para Utilizadores e grupos - Adicione todos os utilizadores/grupos que devem poder ver/utilizar o novo mosaico de URL e guarde
Clique em "Utilizadores e grupos" Clique em Propriedades - Carregue uma imagem de logótipo à sua escolha e guarde
Clique em "Propriedades" Clique em Single Sign-on - Selecione Ligado modo - Depois introduza o URL pretendido e guarde.
Clique em Single Sign-on - Selecione o modo "Ligado"
Aceder às Minhas Aplicações
Os seus utilizadores devem agora conseguir aceder ao mosaico de ligação recentemente criado através de Minhas Aplicações.
Atributos de Retorno RADIUS
Que atributos relacionados com VLAN o RADIUSaaS devolve por defeito?
Caso precise de outros atributos VLAN além dos devolvidos por defeito, por favor contacte o nosso suporte.
Se a etiquetagem VLAN estiver ativada através da configuração e ativação de uma Regra, o RADIUSaaS devolve os seguintes atributos genéricos de VLAN
"Tunnel-Type": "VLAN"
"Tunnel-Medium-Type": "802"
"Tunnel-Private-Group-ID"
juntamente com os outros atributos VLAN específicos de fornecedor habitualmente usados:
"WiMAX-VLAN-ID"
"Nexans-Port-Default-VLAN-ID"
"Dlink-VLAN-ID"
"UTStarcom-VLAN-ID"
"DHCP-IEEE-802.1Q-VLAN-ID"
"Motorola-WiMAX-VLAN-ID"
"Telrad-C-VLAN-ID"
"Telrad-S-VLAN-ID"
"SN-Assigned-VLAN-ID"
"Extreme-VM-VLAN-ID"
"Ruckus-VLAN-ID"
"Mikrotik-Wireless-VLANID"
"Egress-VLANID"
"HP-Egress-VLANID"
Instância Secundária e Failover
Como se comporta uma instância secundária em termos de failover?
Uma instância secundária significa que tem pelo menos um servidor RadSec secundário que funciona de forma independente da sua instância principal, mas com a mesma configuração. Se tiver um, pode ver vários endereços IP em Endereços IP RadSec.
Ligação RadSec
Como os servidores RadSec são independentes entre si, não irão tratar de qualquer tipo de failover. Deve adicionar ambos os endereços IP/entradas DNS ao seu controlador de rede, que decide para que servidor os pedidos de autenticação são encaminhados.
Ligação RADIUS
Com os seus proxies RADIUS, é um pouco diferente: os seus proxies têm conhecimento de cada uma das suas instâncias RadSec e dos respetivos estados de saúde e, por isso, irão tratar do failover se o servidor principal falhar.
Temporizadores e Timeouts
Que parâmetros EAP e timeouts devem ser configurados?
Nem todos os pontos de acesso ou switches (autenticador) lhe fornecem a mesma quantidade de opções de configuração para EAP e para parâmetros gerais de timeout (tempo limite) do servidor RADIUS. O resumo abaixo apresenta o conjunto máximo de parâmetros que conhecemos e como devem ser configurados para permitir a máxima fiabilidade da ligação entre o autenticador e o RADIUSaaS.
Timeout do Servidor RADIUS
5 segundos
Parâmetros EAP
Timeout EAP
15 s
Tentativas máximas de EAP
5
Timeout de identidade EAP
10 s
Tentativas de identidade EAP
5
Timeout de chave EAPOL
2000 ms
Tentativas de chave EAPOL
4
Registos
Como posso identificar o endereço IP público do local a partir do qual uma autenticação se origina?
Para identificar o IP público do local autenticante para uma autenticação específica, a abordagem depende de estar a utilizar uma ligação RADIUS (através dos proxies RADIUS) ou uma ligação RadSec direta:
Ligação RadSec
Navegue até Insights > Registos.
Configure o intervalo de tempo / janela de pesquisa relevante.
Defina o filtro Tipo de Registo para detalhes.
Identifique a autenticação relevante (correlacionando o carimbo de data/hora e o nome de utilizador).
Identifique uma
Access-Requestmensagem (mensagem > Packet-Type = Acess-Request) que pertença à autenticação em análise.Expanda a respetiva entrada de registo.
O IP público pode ser extraído da mensagem > Packet-Src-IP-Address propriedade da entrada de registo.
Ligação RADIUS
Navegue até Insights > Registos.
Configure o intervalo de tempo / janela de pesquisa relevante.
Defina o filtro Tipo de Registo filtro para a proxy.
Identifique a autenticação relevante (correlacionando o carimbo de data/hora e o nome de utilizador).
O IP público pode ser extraído da mensagem propriedade da entrada de registo:
O RADIUSaaS suporta WPA3 Enterprise?
Sim, o RADIUSaaS suporta WPA3 Enterprise. Também suporta o modo WPA3 Enterprise 192-bit com a seguinte limitação:
Windows 11 24H2 introduziu requisitos de certificado mais rigorosos para a encriptação WPA3-Enterprise 192-bit, levando a falhas de autenticação se toda a cadeia de certificados não cumprir padrões específicos de robustez criptográfica. Esta atualização exige comprimentos de chave RSA de pelo menos 3072 bits ou ECDSA com a curva P-384 para todos os certificados envolvidos no processo de autenticação. Organizações que utilizem certificados com parâmetros mais fracos, como RSA de 2048 bits, podem deparar-se com problemas.
Embora o SCEPman suporte chaves RSA de 4096 bits para Windows, isto está limitado ao Software Key Storage Provider (KSP), uma vez que o TPM de hardware não suporta este tamanho de chave.
Se, após a atualização para o Windows 11 24H2, tiver problemas de autenticação, procure erros "SEC_E_ALGORITHM_MISMATCH" no Event Viewer (Registos do Sistema e CAPI2) como indicação de incompatibilidade nos algoritmos criptográficos entre o cliente e o servidor.
O que posso fazer se quiser utilizar autenticação WPA3-Enterprise no Windows?
A sua opção atual daqui em diante é satisfazer os requisitos de certificado para WPA3-Enterprise 192-bit nos seus clientes Windows 11 24H2. Isto inclui atualizar o Leaf Certificate para cumprir os novos requisitos mínimos.
Tenha em atenção que o Intune não inclui atualmente uma opção no seu perfil SCEP para especificar um tamanho de chave de 3072 bits que possa ser armazenado no Trusted Platform Module (TPM) do computador recetor. Devido a esta limitação, atualmente a única solução viável para clientes Windows é utilizar uma chave RSA de 4096 bits inscrita no Software Key Storage Provider (KSP).
Como o perfil WiFi do Intune apenas fornece WPA2-Enterprise, terá de usar uma ferramenta externa para criar um perfil WiFi WPA3-Enterprise. Para conveniência, o RADIUSaaS inclui esta ferramenta aqui.
Fornecedores de Identidade
O RADIUSaaS suporta Okta como fornecedor de identidade?
Sim para login de administradores e utilizadores na consola web
Não para autenticação através do protocolo RADIUS
Login de Utilizador e Portal de administrador (consola web)
O Okta é totalmente suportado como fornecedor de identidade para iniciar sessão no Portal Web do RADIUSaaS. O RADIUSaaS não mantém identidades de administrador próprias e, em vez disso, delega a autenticação ao seu fornecedor de identidade existente, pelo que administradores, visualizadores e utilizadores convidados podem iniciar sessão com as suas contas Okta. O Okta é integrado através da Fornecedor OIDC Personalizado opção na secção Permissões As instruções de configuração passo a passo, incluindo o URI de redirecionamento, URLs de autenticação e de token, ID do cliente, segredo do cliente e o âmbito openid email são documentadas no Permissões artigo.
Autenticação pelo protocolo RADIUS (Wi-Fi, 802.1X com fios, VPN)
Okta não é suportado como fornecedor de identidade para autenticação que ocorre através do protocolo RADIUS. Como descrito na secção Utilizadores , o RADIUSaaS não se integra com qualquer IDP externo para autenticação de rede baseada em nome de utilizador/palavra-passe. Todas as contas de nome de utilizador/palavra-passe usadas para autenticação RADIUS têm de ser criadas e geridas diretamente no Portal de Administração do RADIUSaaS.
Para autenticação de rede baseada em RADIUS, recomendamos geralmente contra abordagens de nome de utilizador/palavra-passe que dependem de um fornecedor de identidade externo. Essas configurações exigem que as credenciais sejam transmitidas ou retransmitidas durante a autenticação de rede e alargam a superfície de ataque de formas que consideramos um risco de segurança relevante. Sempre que possível, use autenticação baseada em certificados (EAP-TLS) em vez disso. Para contexto e uma explicação detalhada dos riscos da autenticação de rede baseada em palavra-passe, consulte Autenticação de Rede Baseada em Certificados.
Última atualização
Isto foi útil?