VPN

Noções básicas

1. Para criar uma regra de VPN, adicione um item sob o Conjunto de regras hub e selecione Regra de VPN.

2. Dê à regra um Nome que explique para que a regra é usada. Além disso, um nome descritivo o ajudará a identificar facilmente solicitações de autenticação processadas por esta regra em seus logs posteriormente.

3. Não se esqueça de Ativar a regra!

Autenticação

Sob o Autenticação hub, sua primeira escolha é se você deseja permitir ou recusar Baseada em certificado ou Baseada em nome de usuário/senha autenticação para esta regra.

Autenticação baseada em certificado

Para autenticação baseada em certificado, você tem as seguintes opções para restringir ainda mais as solicitações de autenticação recebidas.

Permitir apenas CAs específicas (CAs confiáveis)

Isso permite restringir as solicitações de autenticação recebidas a CAs raiz ou emissores confiáveis específicos. Essas CAs podem ser um subconjunto de todos os Roots confiáveis que você configurou na plataforma RADIUSaaS.

Filtrar por IDs do Intune

Esta é uma configuração histórica. Se seus clientes estão se autenticando com certificados que receberam durante o AAD-Join, você desejará filtrar pelo ID do seu Tenant do Intune.

Caso você tenha inserido seus IDs de Tenant conforme descrito aqui, o comportamento padrão do RADIUSaaS é que somente máquinas que apresentem um certificado com a extensão OID 1.2.840.113556.5.14 e um valor de Tenant ID na lista branca terão acesso à rede. Com o mecanismo de regras, agora você tem a opção de restringir ainda mais o acesso a IDs do Intune específicos para uma regra específica ou ignorar a extensão do certificado. Isso permite ter uma configuração de implantação múltipla, onde alguns clientes chegam com certificados fornecendo o OID respectivo e outros não.

Autenticação baseada em nome de usuário/senha

Após ativar a Baseada em nome de usuário/senha autenticação, você pode aplicar filtragem adicional configurando uma Regex no Nome de usuário. O padrão é todos os nomes de usuário.

Configuração

Sob o Configuração hub você pode configurar critérios de filtro adicionais com base na origem das solicitações de autenticação, bem como retornar atributos RADIUS adicionais, por exemplo, Filter-Id.

Filtro de identificador NAS

Para definir um filtro de identificador NAS, selecione Identificadores ou Grupos.

• Se você selecionar Identificadores, você pode especificar vários Identificadores.

• Se você selecionar Grupos, você pode referenciar um ou mais dos seus pré-definidos Grupos de Identificadores NAS.

Filtro de endereço IP do NAS

Para definir um filtro de endereço IP do NAS, selecione IPs ou Grupos.

• Se você selecionar IPs, você pode especificar vários IPs.

• Se você selecionar Grupos, você pode referenciar um ou mais dos seus pré-definidos Grupos de Endereços IP do NAS.

Retorno de atributo RADIUS

O mecanismo de regras do RADIUSaaS fornece várias formas de retornar atributos RADIUS adicionais. As seguintes opções estão disponíveis:

Estático

Especifique estaticamente o(s) atributo(s) de retorno e seu(s) valor(es) que devem ser atribuídos com base na regra relacionada.

Por extensão de certificado

• Selecione uma de suas Extensões de Certificado criadas

• O filtro é configurado para corresponder o Valor do atributo de retorno especificado à sua extensão especificada (OID)

• Curingas serão traduzidos para .* Regex

Por propriedade do Nome do Assunto do Certificado

• Você também pode retornar atributos RADIUS adicionais com base em propriedades no Nome do Assunto do seu certificado

• Para isso, especifique em qual propriedade o valor do atributo de retorno está armazenado

• Em seguida, configure qual string o valor do atributo de retorno deve ter como prefixo

• O valor fornecido na propriedade do Nome do Assunto não é obrigado a ter um prefixo. No entanto, pode ser necessário usar um prefixo caso o seu Nome do Assunto contenha o mesmo atributo mais de uma vez (por exemplo, vários CNs são bastante comuns).