# LAN

## Noções básicas

1. Para criar uma regra LAN, adicione uma **item** na **coleção de regras** seção e selecione **Regra LAN.** 
2. Dê à regra um **Nome** que explique para que a regra é usada. Além disso, um nome descritivo ajudará você a identificar facilmente, mais tarde, as solicitações de autenticação processadas por esta regra nos seus logs.
3. Não se esqueça de **Ativar** a regra!

<figure><img src="https://3106535358-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FUOUphTbSTuuLth3qbJPY%2Fimage.png?alt=media&#x26;token=2db549d8-e8c2-478f-aed2-5359dee73cdf" alt=""><figcaption></figcaption></figure>

## **Autenticação**&#x20;

Na **Autenticação** seção, a sua primeira escolha é se pretende permitir ou recusar **baseada em certificado** ou **baseada em nome de utilizador/palavra-passe** a autenticação para esta regra.

<figure><img src="https://3106535358-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FJIHnZ7xbdp7PokWFvhmC%2Fimage.png?alt=media&#x26;token=e3880e99-3190-4526-b5b6-8a1c322c6493" alt=""><figcaption><p>A mostrar autenticação LAN</p></figcaption></figure>

### **Autenticação baseada em certificado**

Para a autenticação baseada em certificado, tem as seguintes opções para restringir ainda mais as solicitações de autenticação recebidas.

#### Permitir apenas CAs específicas (CAs confiáveis)

Isto permite-lhe restringir as solicitações de autenticação recebidas a CAs raiz ou emissoras confiáveis específicas. Essas CAs podem ser um subconjunto de todas as Raízes Confiáveis que configurou na plataforma RADIUSaaS.

<figure><img src="https://3106535358-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2Fc184Hbgpc7A4pXwVijBu%2Fimage.png?alt=media&#x26;token=ef578c60-f94d-45de-b8ae-abb4d0a8c860" alt=""><figcaption><p>A mostrar filtragem de CA raiz fidedigna</p></figcaption></figure>

#### Filtrar por IDs do Intune&#x20;

Esta é uma definição histórica. Se os seus clientes estiverem a autenticar-se com certificados que receberam durante a AAD-Join, deverá filtrar pelo ID do seu inquilino do Intune.&#x20;

Caso tenha introduzido os IDs do seu inquilino conforme descrito [aqui](https://docs.radiusaas.com/pt/portal-de-administracao/trusted-roots#intune-id), o comportamento padrão do RADIUSaaS é que apenas máquinas que apresentem um certificado com a extensão OID **1.2.840.113556.5.14** e um valor na lista de permitidos para o ID do inquilino terão acesso à rede. Com o motor de regras, agora tem a opção de restringir ainda mais o acesso a IDs específicos do Intune para uma regra específica ou de ignorar a extensão do certificado. Isto permite-lhe ter uma configuração de várias implementações, em que alguns clientes vêm com certificados que fornecem o respetivo OID e outros não.&#x20;

<figure><img src="https://3106535358-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FrCV0pP2IQokPNWmoC7uf%2Fimage.png?alt=media&#x26;token=72ba2cba-a6be-4612-b9e5-cc0ba292927d" alt=""><figcaption><p>Exibindo filtragem por ID do Intune</p></figcaption></figure>

### Autenticação baseada em nome de utilizador/palavra-passe

Depois de ativar **baseada em nome de utilizador/palavra-passe** a autenticação, pode aplicar filtragem adicional configurando uma Regex no **Nome de utilizador**. O padrão é todos os nomes de utilizador.

<figure><img src="https://3106535358-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FM3HNz7JIAE9cyljyKe6J%2Fimage.png?alt=media&#x26;token=3fe45cc1-a4cd-44b0-9dd7-f4c715f64211" alt=""><figcaption><p>A mostrar autenticação baseada em nome de utilizador / palavra-passe</p></figcaption></figure>

## Configuração

Na **Configuração** a partir da qual pode configurar critérios de filtragem adicionais com base na origem dos pedidos de autenticação, bem como atribuir IDs VLAN.

### Filtro de switch

{% hint style="info" %}
Este filtro de endereço MAC permite-lhe autorizar switches específicos **switches** a comunicar com o RADIUSaaS. **Isto não é um filtro de endereço MAC para endpoints!**
{% endhint %}

Para definir um **baseado em endereço MAC** filtro de switch, selecione ou **Endereços** ou **Grupos**.&#x20;

* Se selecionar **Endereços**, pode especificar vários endereços MAC de switc&#x68;**.**&#x20;
* Se selecionar **Grupos,** pode referenciar um ou mais dos seus **Grupos de endereços MAC**.&#x20;

<figure><img src="https://3106535358-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FuFN1nqVZ9KsHylsfaENq%2Fimage.png?alt=media&#x26;token=6100905d-d909-434c-9ac9-e8ed295a3a5a" alt=""><figcaption><p>A mostrar filtragem de endereços MAC</p></figcaption></figure>

São suportadas as seguintes notações para os endereços MAC:

* xx-xx-xx-xx-xx-xx
* xx:xx:xx:xx:xx:xx
* xxxxxxxxxxxx

### Atribuição de VLAN

{% hint style="info" %}
Caso necessite de atributos de retorno de VLAN específicos do fornecedor, pode geri-los [aqui](https://docs.radiusaas.com/pt/portal-de-administracao/settings/general-structure#vlan-attributes).
{% endhint %}

O mecanismo de regras do RADIUSaaS disponibiliza várias formas de atribuir IDs de Virtual-LAN. Estão disponíveis as seguintes opções:

#### Estático

* Especificar estaticamente o ID da VLAN que deve ser atribuído com base na regra relacionada

#### Por Extensão de Certificado

{% hint style="info" %}
Atualmente, não é suportado adicionar extensões de certificado personalizadas a perfis SCEP em muitos sistemas MDM, incluindo Microsoft Intune e JAMF.

Por isso, recomendamos utilizar o [Nome do Assunto do Certificado](#by-certificate-subject-name) do certificado em vez disso, para adicionar uma atribuição de VLAN.
{% endhint %}

* Selecione uma das Extensões de Certificado que criou
* O filtro é definido para corresponder o Valor à extensão (OID) especificada
* Os wildcards serão traduzidos para .\* Regex

#### Por Propriedade do Nome do Assunto do Certificado

Também pode atribuir IDs VLAN com base nas propriedades do Nome do Assunto do seu certificado. Por exemplo, se pretendesse atribuir a VLAN 15 nas suas Regras e estiver a usar o Intune para definir e implementar o seu perfil SCEP, terá de configurar o **Formato do nome do assunto** no seu perfil SCEP, como por exemplo `CN={{DeviceId}},`**`OU=vlan-15`**

<figure><img src="https://3106535358-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2Fsh5zSDL1dCVenDgS8cdq%2Fimage.png?alt=media&#x26;token=2dac4a32-6616-4f8c-8169-29c095cae282" alt=""><figcaption><p>A mostrar a configuração do ID VLAN no Certificado de Dispositivo SCEP</p></figcaption></figure>

Assim que o perfil for implementado, volte a **RADIUSaaS** > **Regras** e especifique em que propriedade o ID VLAN está armazenado e configure a string com a qual o ID VLAN é prefixado. por exemplo `vlan-`

{% hint style="info" %}
O ID VLAN não precisa de ter um prefixo. No entanto, pode ser útil caso o Nome do Assunto contenha o mesmo atributo mais do que uma vez (por exemplo, vários CN são bastante comuns).
{% endhint %}

Por exemplo, a seguinte regra atribuirá o ID VLAN 15 com base no `Nome do Assunto` atributo `OU` prefixado com `vlan-`

<figure><img src="https://3106535358-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2F5aDliFWCsqDh2dd9wXkr%2Fimage.png?alt=media&#x26;token=a9cd28b9-36dc-4fad-99b8-d55244bc66f8" alt=""><figcaption><p>A mostrar filtragem VLAN</p></figcaption></figure>

![](https://content.gitbook.com/content/SWU1DQ4UGkqER7uGNUOm/blobs/BkaDrlChuy8gxYtQFwnJ/image.png)

### Atributos RADIUS adicionais

{% hint style="info" %}
Caso necessite de atributos de retorno que não estejam disponíveis por padrão, adicione-os [aqui](https://docs.radiusaas.com/pt/portal-de-administracao/settings/general-structure#radius-attributes).
{% endhint %}

O mecanismo de regras do RADIUSaaS disponibiliza várias formas de devolver atributos RADIUS adicionais (para além do ID VLAN). Estão disponíveis as seguintes opções:

#### Estático

Especifique estaticamente o(s) atributo(s) de retorno e o(s) seu(s) valor(es) que devem ser atribuídos com base na regra relacionada.

#### Por Extensão de Certificado

{% hint style="info" %}
Atualmente, não é suportado adicionar extensões de certificado personalizadas a perfis SCEP em muitos sistemas MDM, incluindo Microsoft Intune e JAMF.

Por isso, recomendamos utilizar o [Nome do Assunto do Certificado](#by-certificate-subject) do certificado em vez disso, para adicionar uma atribuição de VLAN.
{% endhint %}

* Selecione uma das Extensões de Certificado que criou
* O filtro é definido para corresponder o Valor do atributo de retorno especificado à extensão (OID) que especificou
* Os wildcards serão traduzidos para .\* Regex

#### Por Propriedade do Nome do Assunto do Certificado

* Também pode devolver atributos RADIUS adicionais com base em propriedades no Nome do Assunto do seu certificado
* Para isso, especifique em que propriedade o valor do atributo de retorno está armazenado
* Depois, configure com que string o valor do atributo de retorno deve ser precedido
* O valor fornecido na propriedade Nome do Assunto não precisa de ter um prefixo. No entanto, pode ser necessário usar um prefixo caso o seu Nome do Assunto contenha o mesmo atributo mais do que uma vez (por exemplo, vários CNs são bastante comuns).