VPN

Noções básicas

1. Para criar uma regra VPN, adicione um item sob o Conjunto de regras hive e selecione Regra VPN.

2. Dê à regra um Nome que explique para que a regra é usada. Além disso, um nome descritivo ajudará você a identificar facilmente nos logs as solicitações de autenticação processadas por esta regra mais tarde.

3. Não se esqueça de Ativar a regra!

Autenticação

Sob o Autenticação hive, sua primeira escolha é se deseja permitir ou recusar Baseada em certificado ou Baseada em nome de usuário/senha autenticação para esta regra.

Autenticação baseada em certificado

Para autenticação baseada em certificado, você tem as seguintes opções para restringir ainda mais as solicitações de autenticação recebidas.

Permitir apenas CAs específicas (CAs confiáveis)

Isso permite restringir as solicitações de autenticação recebidas para CAs confiáveis raiz ou emissores específicos. Essas CAs podem ser um subconjunto de todas as Raízes Confiáveis que você configurou na plataforma RADIUSaaS.

Filtrar por IDs do Intune

Esta é uma configuração histórica. Se seus clientes estão se autenticando com certificados que receberam durante o AAD-Join, você quer filtrar pelo ID do seu locatário do Intune.

Caso você tenha inserido seus IDs de locatário conforme descrito aqui, o comportamento padrão do RADIUSaaS é que apenas máquinas que apresentem um certificado com extensão OID 1.2.840.113556.5.14 e um valor na lista branca para o ID do locatário terão acesso à rede. Com o mecanismo de regras, agora você tem a opção de restringir ainda mais o acesso a IDs do Intune específicos para uma regra específica ou ignorar a extensão do certificado. Isso permite que você tenha uma configuração de implantação múltipla, onde alguns clientes vêm com certificados que fornecem o OID respectivo e outros não.

Autenticação baseada em nome de usuário/senha

Após habilitar Baseada em nome de usuário/senha autenticação, você pode aplicar filtragem adicional configurando uma Regex no Nome de usuário. O padrão é todos os nomes de usuário.

Configuração

Sob o Configuração hive você pode configurar critérios de filtro adicionais com base na origem das solicitações de autenticação, bem como retornar atributos RADIUS adicionais, por exemplo, Filter-Id.

Filtro de identificador NAS

Para definir um filtro de identificador NAS, selecione Identificadores ou Grupos.

• Se você selecionar Identificadores, você pode especificar múltiplos Identificadores.

• Se você selecionar Grupos, você pode referenciar um ou mais dos seus Grupos de Identificadores NAS.

Filtro de endereço IP do NAS

Para definir um filtro de endereço IP do NAS, selecione IPs ou Grupos.

• Se você selecionar IPs, você pode especificar múltiplos IPs.

• Se você selecionar Grupos, você pode referenciar um ou mais dos seus Grupos de Endereço IP do NAS.

Retorno de atributo RADIUS

O mecanismo de regras do RADIUSaaS fornece várias maneiras de retornar atributos RADIUS adicionais. As seguintes opções estão disponíveis:

Estático

Especifique estaticamente o(s) atributo(s) de retorno e seu(s) valor(es) que devem ser atribuídos com base na regra relacionada.

Por extensão de certificado

• Selecione uma de suas Extensões de Certificado criadas

• O filtro está configurado para corresponder o Valor do atributo de retorno especificado à sua extensão especificada (OID)

• Coringas serão traduzidos para .* Regex

Por propriedade do Nome do sujeito do certificado

• Você também pode retornar atributos RADIUS adicionais com base em propriedades no Nome do sujeito do seu certificado

• Para isso, especifique em qual propriedade o valor do atributo de retorno está armazenado

• Em seguida, configure qual string o valor do atributo de retorno deve prefixar

• O valor fornecido na propriedade do Nome do sujeito não é obrigatório ter um prefixo. No entanto, pode ser necessário usar um prefixo caso o seu Nome do sujeito carregue o mesmo atributo mais de uma vez (por exemplo, vários CNs são bastante comuns).