Geral
Autenticação
Com que frequência um dispositivo normalmente se autentica contra o RADIUSaaS?
Isto é difícil de responder, pois depende do comportamento dos seus usuários, clientes e equipamentos de rede (APs, NACs, switches). Adicionalmente, é importante notar que o RADIUSaaS não irá
disparar uma autenticação nem
enviar uma solicitação de término através de sua porta de contabilização para o cliente, potencialmente desencadeando uma reautenticação.
Se você sentir que seus dispositivos estão se autenticando com muita frequência (várias vezes por hora) sem o usuário reiniciar constantemente o cliente, isso pode ocorrer pelos seguintes motivos:
O controlador de rede não autentica o cliente rápido o suficiente para o cliente entrar na rede, então o cliente tenta autenticar novamente. Verifique o controlador de rede para ver se/quando ele está recebendo uma resposta do RaaS.
O controlador de rede está reiniciando a autenticação. Verifique o controlador de rede para identificar o que pode estar causando isso.
Portal de Administração do RADIUSaaS
Como posso adicionar o Portal Administrador do RADIUSaaS ao Meus Aplicativos?
Crie o Aplicativo
Primeiro, você precisa criar um aplicativo Empresarial. Para fazer isso pelo portal do Azure, siga estes passos:
Faça login na sua conta Azure
Vá para Microsoft Entra ID
Selecione Aplicativos empresariais
Clique + Novo Aplicativo
Clique + Crie seu próprio aplicativo
Dê um nome ao aplicativo (por exemplo, Portal RADIUSaaS)
Escolha Integre qualquer outro aplicativo que você não encontre na galeria e
Clique Criar
Após isso o aplicativo estará configurado, agora precisamos adicionar usuários a ele e configurar o logotipo e o link
Adicionar Usuários e um Logotipo
Em Gerir vá para Usuários e grupos - Adicione todos os usuários/grupos que devem poder visualizar/usar seu novo bloco de URL e salve
Clique em "Usuários e grupos" Clique Propriedades - Faça upload de uma imagem de logotipo de sua escolha e salve
Clique em "Propriedades" Clique Login único (Single Sign-on) - Selecione Modo "Vinculado" modo - Em seguida insira a URL que desejar e salve.
Clique em Single Sign-on - Selecione o modo "Vinculado"
Acesse Meus Aplicativos
Seus usuários agora devem conseguir acessar o bloco de link recém-criado via As Minhas Apps.
Atributos de Retorno do RADIUS
Quais atributos relacionados a VLAN o RADIUSaaS retorna por padrão?
Caso você precise de outros atributos de VLAN além dos retornados por padrão, por favor contate nosso suporte.
Se a marcação VLAN estiver habilitada configurando e ativando uma relevante Regra, o RADIUSaaS retorna os seguintes atributos genéricos de VLAN
"Tunnel-Type": "VLAN"
"Tunnel-Medium-Type": "802"
"Tunnel-Private-Group-ID"
junto com outros atributos de VLAN específicos de fornecedor comumente usados:
"WiMAX-VLAN-ID"
"Nexans-Port-Default-VLAN-ID"
"Dlink-VLAN-ID"
"UTStarcom-VLAN-ID"
"DHCP-IEEE-802.1Q-VLAN-ID"
"Motorola-WiMAX-VLAN-ID"
"Telrad-C-VLAN-ID"
"Telrad-S-VLAN-ID"
"SN-Assigned-VLAN-ID"
"Extreme-VM-VLAN-ID"
"Ruckus-VLAN-ID"
"Mikrotik-Wireless-VLANID"
"Egress-VLANID"
"HP-Egress-VLANID"
Instância Secundária e Failover
Como uma instância secundária se comporta em termos de failover?
Uma instância secundária significa que você tem pelo menos um servidor RadSec secundário que funciona de forma independente da sua instância principal, mas com a mesma configuração. Se você tiver um, pode ver múltiplos endereços IP em Endereços IP RadSec.
Conexão RadSec
Como os servidores RadSec são independentes entre si, eles não lidarão com nenhum tipo de failover. Você deve adicionar ambos os endereços IP/entradas DNS ao seu controlador de rede, que decide para qual servidor as solicitações de autenticação são encaminhadas.
Conexão RADIUS
Com seus proxies RADIUS, é um pouco diferente: seus proxies conhecem cada uma de suas instâncias RadSec e seus estados de integridade e, portanto, irão lidar com o failover se o servidor primário falhar.
Temporizadores e Timeouts
Quais parâmetros EAP e timeouts devem ser configurados?
Nem todo ponto de acesso ou switch (autenticador) fornece a mesma quantidade de opções de configuração para EAP e parâmetros gerais de timeout (servidor RADIUS). A visão geral abaixo apresenta o conjunto máximo de parâmetros conhecido por nós e como eles devem ser configurados para permitir a máxima confiabilidade da conexão entre o autenticador e o RADIUSaaS.
Timeout do Servidor RADIUS
5 segundos
Parâmetros EAP
Timeout EAP
15 s
Máx. tentativas EAP
5
Timeout de identidade EAP
10 s
Tentativas de identidade EAP
5
Timeout de chave EAPOL
2000 ms
Tentativas de chave EAPOL
4
Registros
Como posso identificar o endereço IP público do site de onde uma autenticação se origina?
Para identificar o IP público do site que está autenticando para uma determinada autenticação, a abordagem depende de você estar usando uma conexão RADIUS (via os proxies RADIUS) ou uma conexão RadSec direta:
Conexão RadSec
Navegue para Insights > Logs.
Configure o intervalo de tempo relevante / janela de pesquisa.
Defina o Tipo de log filtrar para detalhes.
Identifique a autenticação relevante (corrrelacionando o carimbo de data/hora e o nome de usuário).
Identifique uma
mensagem Access-Requestmensagem (mensagem > Packet-Type = Acess-Request) que pertence à autenticação em investigação.Expanda a entrada de log respectiva.
O IP público pode ser extraído da mensagem > Packet-Src-IP-Address propriedade da entrada de log.
Conexão RADIUS
Navegue para Insights > Logs.
Configure o intervalo de tempo relevante / janela de pesquisa.
Defina o Tipo de log filtrar para a proxy.
Identifique a autenticação relevante (corrrelacionando o carimbo de data/hora e o nome de usuário).
O IP público pode ser extraído da mensagem propriedade da entrada de log:
O RADIUSaaS oferece suporte ao WPA3 Enterprise?
Sim, o RADIUSaaS oferece suporte ao WPA3 Enterprise. Também oferece suporte ao modo WPA3 Enterprise 192-bit com a seguinte limitação:
Windows 11 24H2 introduziu requisitos de certificado mais rígidos para criptografia WPA3-Enterprise 192-bit, levando a falhas de autenticação se toda a cadeia de certificados não atender a padrões específicos de força criptográfica. Esta atualização exige comprimentos de chave RSA de pelo menos 3072 bits ou ECDSA com a curva P-384 para todos os certificados envolvidos no processo de autenticação. Organizações que usam certificados com parâmetros mais fracos, como RSA 2048 bits, podem encontrar problemas.
Embora o SCEPman ofereça suporte a chaves RSA de 4096 bits para Windows, isto é limitado ao Provedor de Armazenamento de Chaves de Software (KSP), já que o TPM de hardware não suporta esse tamanho de chave.
Se após atualizar para o Windows 11 24H2 você experimentar problemas de autenticação, procure por erros "SEC_E_ALGORITHM_MISMATCH" no Visualizador de Eventos (Logs do Sistema e CAPI2) como um indicador de incompatibilidade nos algoritmos criptográficos entre o cliente e o servidor.
O que posso fazer se quiser usar autenticação WPA3-Enterprise no Windows?
Sua opção atual é atender aos requisitos de certificado para WPA3-Enterprise 192-bit nos seus clientes Windows 11 24H2. Isso inclui atualizar o Certificado Leaf para atender aos novos requisitos mínimos.
Observe que o Intune atualmente não inclui uma opção em seu perfil SCEP para especificar um tamanho de chave de 3072 bits que poderia ser armazenado no Módulo de Plataforma Confiável (TPM) do computador receptor. Devido a essa limitação, atualmente a única solução viável para clientes Windows é usar uma chave RSA de 4096 bits registrada no Provedor de Armazenamento de Chaves de Software (KSP).
Como o perfil WiFi do Intune fornece apenas WPA2-Enterprise, você precisará usar uma ferramenta externa para criar um perfil WiFi WPA3-Enterprise. Para conveniência, o RADIUSaaS inclui essa ferramenta aqui.
Last updated
Was this helpful?