# WiFi ## Noções básicas 1. Para criar uma regra WiFi, adicione um **item** na **coleção de regras** seção e selecione **Regra WiFi.** 2. Dê à regra um **Nome** que explique para que a regra é usada. Além disso, um nome descritivo ajudará você a identificar facilmente, mais tarde, as solicitações de autenticação processadas por esta regra nos seus logs. 3. Não se esqueça de **Ativar** a regra!

Mostrando como adicionar uma regra Wi‑Fi

## **Autenticação** Na **Autenticação** seção, a sua primeira escolha é se pretende permitir ou recusar **baseada em certificado** ou **baseada em nome de utilizador/palavra-passe** a autenticação para esta regra.

### **Autenticação baseada em certificado** Para a autenticação baseada em certificado, tem as seguintes opções para restringir ainda mais as solicitações de autenticação recebidas. #### Permitir apenas CAs específicas (CAs confiáveis) Isto permite-lhe restringir as solicitações de autenticação recebidas a CAs raiz ou emissoras confiáveis específicas. Essas CAs podem ser um subconjunto de todas as Raízes Confiáveis que configurou na plataforma RADIUSaaS.

#### Filtrar por IDs do Intune Esta é uma definição histórica. Se os seus clientes estiverem a autenticar-se com certificados que receberam durante a AAD-Join, deverá filtrar pelo ID do seu inquilino do Intune. Caso tenha introduzido os IDs do seu inquilino conforme descrito [aqui](https://docs.radiusaas.com/pt/portal-de-administracao/trusted-roots#intune-id), o comportamento padrão do RADIUSaaS é que apenas máquinas que apresentem um certificado com a extensão OID **1.2.840.113556.5.14** e um valor na lista de permitidos para o ID do inquilino terão acesso à rede. Com o motor de regras, agora tem a opção de restringir ainda mais o acesso a IDs específicos do Intune para uma regra específica ou de ignorar a extensão do certificado. Isto permite-lhe ter uma configuração de várias implementações, em que alguns clientes vêm com certificados que fornecem o respetivo OID e outros não.

### Autenticação baseada em nome de utilizador/palavra-passe Depois de ativar **baseada em nome de utilizador/palavra-passe** a autenticação, pode aplicar filtragem adicional configurando uma Regex no **Nome de utilizador**. O padrão é todos os nomes de utilizador

## Configuração Na **Configuração** a partir da qual pode configurar critérios de filtragem adicionais com base na origem dos pedidos de autenticação, bem como atribuir IDs VLAN. ### Filtro SSID Para definir um filtro SSID, selecione ou **Nomes** ou **Grupos**. * Se selecionar **Nomes**, pode especificar vários **SSIDs.** * Se selecionar **Grupos,** pode referenciar um ou mais dos seus **Grupos de SSID**.

Mostrando filtro por nome ou grupo de SSID

### Filtro de ponto de acesso {% hint style="info" %} Este filtro de endereço MAC permite-lhe autorizar switches específicos **pontos de acesso** a comunicar com o RADIUSaaS. **Isto não é um filtro de endereço MAC para endpoints!** {% endhint %} Para definir um **baseado em endereço MAC** filtro de ponto de acesso, selecione ou **Endereços** ou **Grupos**. * Se selecionar **Endereços**, pode especificar vários endereços MAC de pontos de acesso**.** * Se selecionar **Grupos,** pode referenciar um ou mais dos seus **Grupos de endereços MAC**.

Mostrando a seleção de pontos de acesso por endereços MAC ou grupo

São suportadas as seguintes notações para os endereços MAC: * xx-xx-xx-xx-xx-xx * xx:xx:xx:xx:xx:xx * xxxxxxxxxxxx {% hint style="info" %} O seu ponto de acesso (AP) provavelmente não usa o endereço MAC da LAN, que está impresso na caixa do AP e aparece no portal de administração do AP como endereço MAC principal. Muitos fornecedores geram endereços MAC individuais/aleatórios (BSSIDs) para cada SSID e frequência. Se não encontrar os endereços MAC usados na interface de administração do seu AP, também pode consultar o registo "Rule Engine" (na secção "Insights") na sua consola web de administração RADIUSaaS. Encontra o endereço MAC que o seu AP está a enviar no campo "`AP-MAC"`. {% endhint %} ### Atribuição de VLAN {% hint style="info" %} Caso necessite de atributos de retorno de VLAN específicos do fornecedor, pode geri-los [aqui](https://docs.radiusaas.com/pt/portal-de-administracao/settings/general-structure#vlan-attributes). {% endhint %} O mecanismo de regras do RADIUSaaS disponibiliza várias formas de atribuir IDs de Virtual-LAN. Estão disponíveis as seguintes opções: #### Estático * Especificar estaticamente o ID da VLAN que deve ser atribuído com base na regra relacionada #### Por Extensão de Certificado {% hint style="info" %} Atualmente, não é suportado adicionar extensões de certificado personalizadas a perfis SCEP em muitos sistemas MDM, incluindo Microsoft Intune e JAMF. Por isso, recomendamos utilizar o [Nome do Assunto do Certificado](#by-certificate-subject) do certificado em vez disso, para adicionar uma atribuição de VLAN. {% endhint %} * Selecione uma das Extensões de Certificado que criou * O filtro é definido para corresponder o Valor à extensão (OID) especificada * Os wildcards serão traduzidos para . \* Regex

#### Por Propriedade do Nome do Assunto do Certificado * Também pode atribuir IDs de VLAN com base nas propriedades no Subject Name do seu certificado * Por isso, especifique em que propriedade o ID da VLAN está armazenado * Em seguida, configure com que string o ID da VLAN é prefixado * Não é necessário que o ID da VLAN tenha um prefixo. No entanto, pode ser necessário usar um prefixo caso o seu Subject Name contenha o mesmo atributo mais do que uma vez (por exemplo, vários CN são bastante comuns). Por exemplo, a seguinte regra atribuirá o ID VLAN 15 com base no `Nome do Assunto` atributo `OU` prefixado com `vlan-`

![](https://content.gitbook.com/content/SWU1DQ4UGkqER7uGNUOm/blobs/BkaDrlChuy8gxYtQFwnJ/image.png) ### Atributos RADIUS adicionais {% hint style="info" %} Caso necessite de atributos de retorno que não estejam disponíveis por padrão, adicione-os [aqui](https://docs.radiusaas.com/pt/portal-de-administracao/settings/general-structure#radius-attributes). {% endhint %} O mecanismo de regras do RADIUSaaS disponibiliza várias formas de devolver atributos RADIUS adicionais (para além do ID VLAN). Estão disponíveis as seguintes opções: #### Estático Especifique estaticamente o(s) atributo(s) de retorno e o(s) seu(s) valor(es) que devem ser atribuídos com base na regra relacionada. #### Por Extensão de Certificado {% hint style="info" %} Atualmente, não é suportado adicionar extensões de certificado personalizadas a perfis SCEP em muitos sistemas MDM, incluindo Microsoft Intune e JAMF. Por isso, recomendamos utilizar o [Nome do Assunto do Certificado](#by-certificate-subject) do certificado em vez disso, para adicionar uma atribuição de VLAN. {% endhint %} * Selecione uma das Extensões de Certificado que criou * O filtro é definido para corresponder o Valor do atributo de retorno especificado à extensão (OID) que especificou * Os wildcards serão traduzidos para .\* Regex #### Por Propriedade do Nome do Assunto do Certificado * Também pode devolver atributos RADIUS adicionais com base em propriedades no Nome do Assunto do seu certificado * Para isso, especifique em que propriedade o valor do atributo de retorno está armazenado * Depois, configure com que string o valor do atributo de retorno deve ser precedido * O valor fornecido na propriedade Nome do Assunto não precisa de ter um prefixo. No entanto, pode ser necessário usar um prefixo caso o seu Nome do Assunto contenha o mesmo atributo mais do que uma vez (por exemplo, vários CNs são bastante comuns).