WiFi
Noções básicas
Para criar uma regra WiFi, adicione um item sob o Conjunto de regras hive e selecione Regra WiFi.
Dê à regra um Nome que explique para que a regra é usada. Além disso, um nome descritivo ajudará você a identificar facilmente nos logs as solicitações de autenticação processadas por esta regra mais tarde.
Não se esqueça de Ativar a regra!
Autenticação
Sob o Autenticação hive, sua primeira escolha é se deseja permitir ou recusar Baseada em certificado ou Baseada em nome de usuário/senha autenticação para esta regra.
Autenticação baseada em certificado
Para autenticação baseada em certificado, você tem as seguintes opções para restringir ainda mais as solicitações de autenticação recebidas.
Permitir apenas CAs específicas (CAs confiáveis)
Isso permite restringir as solicitações de autenticação recebidas para CAs confiáveis raiz ou emissores específicos. Essas CAs podem ser um subconjunto de todas as Raízes Confiáveis que você configurou na plataforma RADIUSaaS.
Filtrar por IDs do Intune
Esta é uma configuração histórica. Se seus clientes estão se autenticando com certificados que receberam durante o AAD-Join, você quer filtrar pelo ID do seu locatário do Intune.
Caso você tenha inserido seus IDs de locatário conforme descrito aqui, o comportamento padrão do RADIUSaaS é que apenas máquinas que apresentem um certificado com extensão OID 1.2.840.113556.5.14 e um valor na lista branca para o ID do locatário terão acesso à rede. Com o mecanismo de regras, agora você tem a opção de restringir ainda mais o acesso a IDs do Intune específicos para uma regra específica ou ignorar a extensão do certificado. Isso permite que você tenha uma configuração de implantação múltipla, onde alguns clientes vêm com certificados que fornecem o OID respectivo e outros não.
Autenticação baseada em nome de usuário/senha
Após habilitar Baseada em nome de usuário/senha autenticação, você pode aplicar filtragem adicional configurando uma Regex no Nome de usuário. Padrão é todos os nomes de usuário
Configuração
Sob o Configuração hive você pode configurar critérios de filtragem adicionais com base na origem das solicitações de autenticação, bem como atribuir IDs de VLAN.
Filtro de SSID
Para definir um filtro de SSID, selecione Nomes ou Grupos.
Se você selecionar Nomes, você pode especificar múltiplos SSIDs.
Se você selecionar Grupos, você pode referenciar um ou mais dos seus Grupos de SSID.
Filtro de ponto de acesso
Este filtro de endereço MAC permite permitir pontos de acesso se comunicarem com o RADIUSaaS. Isto não é um filtro de endereço MAC para endpoints!
Para definir um baseado em MAC-Address filtro de ponto de acesso, selecione Endereços ou Grupos.
Se você selecionar Endereços, você pode especificar vários endereços MAC de ponto de acesso.
Se você selecionar Grupos, você pode referenciar um ou mais dos seus Grupos de Endereço MAC.
As seguintes notações são compatíveis para os endereços MAC:
xx-xx-xx-xx-xx-xx
xx:xx:xx:xx:xx:xx
xxxxxxxxxxxx
Seu ponto de acesso (AP) provavelmente não usará o endereço MAC da LAN impresso na carcaça do AP e exibido no portal de administração do AP como endereço MAC primário. Muitos fornecedores geram endereços MAC individuais/aleatórios (BSSIDs) para cada SSID e frequência.
Se você não conseguir encontrar os endereços MAC usados na interface de administração do AP, você também pode consultar o log "Rule Engine" (na seção "Insights") no console web de administração do RADIUSaaS. Você encontra o endereço MAC que seu AP está enviando no campo "AP-MAC".
Atribuição de VLAN
Caso você exija atributos de retorno de VLAN específicos do fornecedor, você pode gerenciá-los aqui.
O mecanismo de regras do RADIUSaaS fornece várias maneiras de atribuir IDs de VLAN. As seguintes opções estão disponíveis:
Estático
Especificar estaticamente o ID de VLAN que deve ser atribuído com base na regra relacionada
Por extensão de certificado
Atualmente não é suportado adicionar extensões de certificado personalizadas a perfis SCEP em muitos sistemas MDM, incluindo Microsoft Intune e JAMF.
Recomendamos, portanto, usar o Nome do sujeito do certificado do certificado em vez disso para adicionar uma atribuição de VLAN.
Selecione uma de suas Extensões de Certificado criadas
O filtro está definido para corresponder o Valor à sua extensão especificada (OID)
Curingas serão traduzidos para. * Regex
Por propriedade do Nome do sujeito do certificado
Você também pode atribuir IDs de VLAN com base em propriedades no Nome do Sujeito do seu certificado
Portanto, especifique em qual propriedade o ID de VLAN está armazenado
Então, configure qual string deve prefixar o ID de VLAN
O ID de VLAN não é obrigado a ter um prefixo. No entanto, pode ser necessário usar um prefixo caso seu Nome do Sujeito contenha o mesmo atributo mais de uma vez (por exemplo, vários CNs são bastante comuns).
Como exemplo, a seguinte regra atribuirá o ID de VLAN 15 com base no Nome do Sujeito atributo OU prefixado com vlan-
Atributos RADIUS adicionais
Caso você exija atributos de retorno que não estejam disponíveis por padrão, por favor adicione-os aqui.
O mecanismo de regras do RADIUSaaS fornece várias maneiras de retornar atributos RADIUS adicionais (além do ID de VLAN). As seguintes opções estão disponíveis:
Estático
Especifique estaticamente o(s) atributo(s) de retorno e seu(s) valor(es) que devem ser atribuídos com base na regra relacionada.
Por extensão de certificado
Atualmente não é suportado adicionar extensões de certificado personalizadas a perfis SCEP em muitos sistemas MDM, incluindo Microsoft Intune e JAMF.
Recomendamos, portanto, usar o Nome do sujeito do certificado do certificado em vez disso para adicionar uma atribuição de VLAN.
Selecione uma de suas Extensões de Certificado criadas
O filtro está configurado para corresponder o Valor do atributo de retorno especificado à sua extensão especificada (OID)
Coringas serão traduzidos para .* Regex
Por propriedade do Nome do sujeito do certificado
Você também pode retornar atributos RADIUS adicionais com base em propriedades no Nome do sujeito do seu certificado
Para isso, especifique em qual propriedade o valor do atributo de retorno está armazenado
Em seguida, configure qual string o valor do atributo de retorno deve prefixar
O valor fornecido na propriedade do Nome do sujeito não é obrigatório ter um prefixo. No entanto, pode ser necessário usar um prefixo caso o seu Nome do sujeito carregue o mesmo atributo mais de uma vez (por exemplo, vários CNs são bastante comuns).
Last updated
Was this helpful?