Este artigo foi traduzido automaticamente. A tradução pode conter imprecisões.
Alternar para a versão original em inglês.
Ctrlk

VPN

Noções básicas

  1. Para criar uma regra VPN, adicione um item na coleção de regras seção e selecione Regra VPN.

  2. Dê à regra um Nome que explique para que a regra é usada. Além disso, um nome descritivo ajudará você a identificar facilmente, mais tarde, as solicitações de autenticação processadas por esta regra nos seus logs.

  3. Não se esqueça de ativar a regra!

Exibindo regra VPN

Autenticação

Na Autenticação seção, a sua primeira escolha é se pretende permitir ou recusar baseada em certificado ou baseada em nome de utilizador/palavra-passe a autenticação para esta regra.

Exibindo autenticação VPN

Autenticação baseada em certificado

Para a autenticação baseada em certificado, tem as seguintes opções para restringir ainda mais as solicitações de autenticação recebidas.

Permitir apenas CAs específicas (CAs confiáveis)

Isto permite-lhe restringir as solicitações de autenticação recebidas a CAs raiz ou emissoras confiáveis específicas. Essas CAs podem ser um subconjunto de todas as Raízes Confiáveis que configurou na plataforma RADIUSaaS.

Exibindo filtragem de certificados

Filtrar por IDs do Intune

Esta é uma definição histórica. Se os seus clientes estiverem a autenticar-se com certificados que receberam durante a AAD-Join, deverá filtrar pelo ID do seu inquilino do Intune.

Caso tenha introduzido os IDs do seu inquilino conforme descrito aqui, o comportamento padrão do RADIUSaaS é que apenas máquinas que apresentem um certificado com a extensão OID 1.2.840.113556.5.14 e um valor na lista de permitidos para o ID do inquilino terão acesso à rede. Com o motor de regras, agora tem a opção de restringir ainda mais o acesso a IDs específicos do Intune para uma regra específica ou de ignorar a extensão do certificado. Isto permite-lhe ter uma configuração de várias implementações, em que alguns clientes vêm com certificados que fornecem o respetivo OID e outros não.

Exibindo filtragem por ID do Intune

Autenticação baseada em nome de utilizador/palavra-passe

Depois de ativar baseada em nome de utilizador/palavra-passe a autenticação, pode aplicar filtragem adicional configurando uma Regex no Nome de utilizador. O padrão é todos os nomes de utilizador.

Exibindo autenticação baseada em nome de utilizador/palavra-passe

Configuração

Na Configuração seção, é possível configurar critérios adicionais de filtragem com base na origem das solicitações de autenticação, bem como devolver atributos RADIUS adicionais, por exemplo, Filter-Id.

Filtro de Identificador NAS

Caso não tenha certeza de que identificador o seu NAS usa, pode verificar os logs (tipo de log = detalhe). O RADIUSaaS procura uma propriedade chamada NAS-Identifier para corresponder aos Identificadores NAS confiáveis.

Para definir um filtro de Identificador NAS, selecione Identificadores ou Grupos.

  • Se selecionar Identificadores, pode especificar vários Identificadores.

  • Se selecionar Grupos, pode referenciar um ou mais dos seus Grupos de Identificadores NAS.

Exibindo Identificador NAS

Filtro de Endereço IP NAS

Para definir um filtro de endereço IP NAS, selecione IPs ou Grupos.

  • Se selecionar IPs, pode especificar vários IPs.

  • Se selecionar Grupos, pode referenciar um ou mais dos seus Grupos de Endereços IP NAS.

Exibindo Filtro de Endereço IP NAS

Retorno de atributo RADIUS

Caso necessite de atributos de retorno que não estejam disponíveis por padrão, adicione-os aqui.

O motor de regras do RADIUSaaS oferece várias formas de devolver atributos RADIUS adicionais. As seguintes opções estão disponíveis:

Estático

Especifique estaticamente o(s) atributo(s) de retorno e o(s) seu(s) valor(es) que devem ser atribuídos com base na regra relacionada.

Por Extensão de Certificado

Atualmente, não é suportado adicionar extensões de certificado personalizadas a perfis SCEP em muitos sistemas MDM, incluindo Microsoft Intune e JAMF.

Por isso, recomendamos utilizar o Nome do Assunto do Certificado do certificado em vez disso, para adicionar uma atribuição de VLAN.

  • Selecione uma das Extensões de Certificado que criou

  • O filtro é definido para corresponder o Valor do atributo de retorno especificado à extensão (OID) que especificou

  • Os wildcards serão traduzidos para .* Regex

Por Propriedade do Nome do Assunto do Certificado

  • Também pode devolver atributos RADIUS adicionais com base em propriedades no Nome do Assunto do seu certificado

  • Para isso, especifique em que propriedade o valor do atributo de retorno está armazenado

  • Depois, configure com que string o valor do atributo de retorno deve ser precedido

  • O valor fornecido na propriedade Nome do Assunto não precisa de ter um prefixo. No entanto, pode ser necessário usar um prefixo caso o seu Nome do Assunto contenha o mesmo atributo mais do que uma vez (por exemplo, vários CNs são bastante comuns).

Última atualização

Isto foi útil?