WiFi
Noções básicas
Para criar uma regra de WiFi, adicione um item sob o Conjunto de regras colmeia e selecione Regra de WiFi.
Dê à regra um Nome que explique para que a regra é usada. Além disso, um nome descritivo ajudará você a identificar facilmente solicitações de autenticação processadas por esta regra em seus logs posteriormente.
Não se esqueça de Habilitar a regra!
Autenticação
Sob a Autenticação colmeia, sua primeira escolha é se você deseja permitir ou recusar Baseada em certificado ou Baseada em nome de usuário/senha autenticação para esta regra.
Autenticação baseada em certificado
Para autenticação baseada em certificado, você tem as seguintes opções para restringir ainda mais as solicitações de autenticação recebidas.
Permitir apenas CAs específicas (CAs confiáveis)
Isso permite restringir solicitações de autenticação recebidas para autoridades de certificação raiz ou emissoras confiáveis específicas. Essas CAs podem ser um subconjunto de todas as Raízes Confiáveis que você configurou na plataforma RADIUSaaS.
Filtrar por IDs do Intune
Esta é uma configuração histórica. Se seus clientes estão se autenticando com certificados que receberam durante a Junção AAD, você vai querer filtrar pelo ID do seu Locatário Intune.
Caso você tenha inserido seus IDs de Locatário conforme descrito aqui, o comportamento padrão do RADIUSaaS é que apenas máquinas que apresentem um certificado com a extensão OID 1.2.840.113556.5.14 e um valor para o ID do Locatário na lista de permitidos terão acesso à rede. Com o mecanismo de regras, agora você tem a opção de restringir ainda mais o acesso a IDs do Intune específicos para uma regra específica ou de ignorar a extensão do certificado. Isso permite ter uma configuração de implantação múltipla, onde alguns clientes trazem certificados com o OID respectivo e outros não.
Autenticação baseada em Nome de Usuário/Senha
Após ativar a Baseada em nome de usuário/senha autenticação, você pode aplicar filtragem adicional configurando uma Regex no Nome de usuário. O padrão é todos os Nomes de Usuário
Configuração
Sob a Configuração na colmeia você pode configurar critérios de filtro adicionais com base na origem das solicitações de autenticação, bem como atribuir IDs de VLAN.
Filtro de SSID
Para definir um filtro de SSID, selecione Nomes ou Grupos.
Se você selecionar Nomes, você pode especificar vários SSIDs.
Se você selecionar Grupos, você pode referenciar um ou mais dos seus pré-definidos Grupos de SSID.
Filtro de Ponto de Acesso
Esse filtro de endereço MAC permite permitir que pontos de acesso se comuniquem com o RADIUSaaS. Este não é um filtro de endereço MAC para endpoints!
Para definir um filtro de switch baseado em endereço MAC filtro de ponto de acesso, selecione Endereços ou Grupos.
Se você selecionar Endereços, você pode especificar múltiplos endereços MAC de Ponto de Acesso.
Se você selecionar Grupos, você pode referenciar um ou mais dos seus pré-definidos Grupos de Endereços MAC.
As seguintes notações são suportadas para os endereços MAC:
xx-xx-xx-xx-xx-xx
xx:xx:xx:xx:xx:xx
xxxxxxxxxxxx
Seu ponto de acesso (AP) muito provavelmente não usará o endereço MAC da LAN, que está impresso no chassi do AP e mostrado no portal administrativo do AP como endereço MAC primário. Muitos fornecedores geram endereços MAC individuais/aleatórios (BSSIDs) para cada SSID e frequência.
Se você não conseguir encontrar os endereços MAC usados na interface administrativa do seu AP, também pode consultar o registro "Rule Engine" (na seção "Insights") no console web administrativo do RADIUSaaS. Você encontra o endereço MAC que seu AP está enviando no campo "AP-MAC".
Atribuição de VLAN
O mecanismo de regras do RADIUSaaS oferece várias maneiras de atribuir IDs de Rede Virtual (VLAN). As seguintes opções estão disponíveis:
Estático
Especificar estaticamente o ID da VLAN que deve ser atribuído com base na regra relacionada
Por Extensão de Certificado
Atualmente não é suportado adicionar extensões de certificado personalizadas a perfis SCEP em muitos sistemas MDM, incluindo Microsoft Intune e JAMF.
Portanto, recomendamos usar o Nome do Sujeito do Certificado do certificado, em vez disso, para adicionar uma atribuição de VLAN.
Selecione uma de suas Extensões de Certificado criadas
O filtro está configurado para corresponder o Valor à sua extensão especificada (OID)
Curingas serão traduzidos para. * Regex
Por Propriedade do Nome do Sujeito do Certificado
Você também pode atribuir IDs de VLAN com base em propriedades no Nome do Sujeito do seu certificado
Portanto, especifique em qual propriedade o ID da VLAN está armazenado
Em seguida, configure qual string precede o ID da VLAN
O ID da VLAN não precisa ter um prefixo. No entanto, pode ser necessário usar um prefixo caso seu Nome do Sujeito contenha o mesmo atributo mais de uma vez (por exemplo, vários CNs são bastante comuns).
Como exemplo, a seguinte regra atribuirá o ID da VLAN 15 com base no Nome do Sujeito atributo OU prefixado com vlan-
Atributos RADIUS adicionais
Caso você necessite de atributos de retorno que não estejam disponíveis por padrão, por favor contate nosso suporte.
O mecanismo de regras do RADIUSaaS fornece várias maneiras de retornar atributos RADIUS adicionais (além do ID da VLAN). As seguintes opções estão disponíveis:
Estático
Especificar estaticamente o(s) atributo(s) de retorno e seu(s) valor(es) que devem ser atribuídos com base na regra relacionada.
Por Extensão de Certificado
Atualmente não é suportado adicionar extensões de certificado personalizadas a perfis SCEP em muitos sistemas MDM, incluindo Microsoft Intune e JAMF.
Portanto, recomendamos usar o Nome do Sujeito do Certificado do certificado, em vez disso, para adicionar uma atribuição de VLAN.
Selecione uma de suas Extensões de Certificado criadas
O filtro está configurado para corresponder o Valor do atributo de retorno especificado à sua extensão especificada (OID)
Coringas serão traduzidos para .* Regex
Por Propriedade do Nome do Sujeito do Certificado
Você também pode retornar atributos RADIUS adicionais com base em propriedades no Nome do Sujeito do seu certificado
Para isso, especifique em qual propriedade o valor do atributo de retorno é armazenado
Em seguida, configure qual string precede o valor do atributo de retorno
O valor fornecido na propriedade do Nome do Sujeito não é obrigado a ter um prefixo. No entanto, pode ser necessário usar um prefixo caso seu Nome do Sujeito contenha o mesmo atributo mais de uma vez (por exemplo, vários CNs são bastante comuns).
Last updated
Was this helpful?