Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

配置身份验证策略标签

添加标签以标识要在身份验证策略中引用的用户和资源,以控制对网络的访问。

网络访问控制策略是一组规则和准则,用于为尝试连接到网络的设备提供安全访问。策略包含设备和用户访问网络和使用网络资源必须满足的某些条件。

您可以使用身份验证策略配置 Juniper Mist Access Assurance,使Juniper Mist托管设备能够将客户端连接到网络或应用。

Juniper Mist 利用“标签”作为策略匹配标准,而使用标签则应用指定权限的相关策略作。也就是说,创建身份验证策略时,可以将标签用作:

  • 匹配条件:应用策略规则必须满足的一组匹配条件。
  • 策略允许作:在匹配时应用的一组作,例如应用其他属性(VLAN、角色和基于组的策略标记)。

创建标签

您可以在以下页面上创建标签:

  • 身份验证策略
  • 身份验证策略标签

要在 Authentication Policy Labels 页面中创建标签:

  1. 在Juniper Mist门户的左侧菜单中,选择“组织>访问>身份验证策略标签”。

    此时将显示现有标签的列表(如果有)。

  2. 在“身份验证策略标签”中,单击 “添加标签” 并输入以下详细信息:
    • 标签名称 (Label Name) - 输入标签的唯一名称。您最多可使用 32 个字符,包括字母数字字符以及一个或多个特殊字符。
    • 标签类型 (Label Type) - 指定标签类型。请参阅 表 1 中的信息以选择标签类型。
    表 1:新标签的参数

    标签类型

    身份验证策略规则中的角色

    AAA 属性

    一组用户属性,用作匹配条件,并帮助确定指定权限的策略作。

    选项:

    • 角色:分配的用户角色。这可用于应用基于角色的策略。
    • VLAN:VLAN ID 或命名 VLAN。这可用于将 VLAN 分配给客户端。
    • 领域:身份验证中使用的域,通常用于指定用户凭据的有效位置。
    • 用户名:分配给个人或设备的唯一标识符。这可用于匹配身份验证设备的用户名 RADIUS 属性。
    • GBP 标记:组策略标记),用于将特定的用户或设备组分配给不同类型的网络流量管理。
    • 会话超时:设置重置用户会话之前允许的最长时间,从 3600 秒设置为 604800 秒。
    • 自定义供应商特定属性:可配置为在 Access-Accept 消息中返回的自定义属性。这些属性是为特定供应商量身定制的,可以包括角色或权限。例子:
      • Cisco:Cisco-AVPair、Cisco-NAS-Port、Cisco-Fax-account-ID-origin。
      • 瞻博网络:Juniper-local-user-name。
      • Palo Alto Networks:PaloAlto-admin-role、paloAlto-admin-access-domain。

      • 您可以在各自的文档或配置指南中找到不同供应商的供应商特定属性 (VSA)。

    • 自定义标准 RADIUS 属性(这些是标准 IETF RADIUS 属性,例如 Idle-Timeout=600Termination-Action=RADIUS-Request,可以使用其他属性进行修改。
    • 动态有线端口配置(这些是 Access Assurance 在 Access-Accept 消息中为 RADIUS 属性 Egress-VLAN-Name 返回的 VLAN 名称,对于动态端口配置特别有用,例如,自动将中继端口用于接入点连接或区分已标记和未标记的 VLAN)。
    • 返回的用户名:用户的标识符,如用户名,一旦用户成功通过身份验证,就会进入系统的电子邮件。

      选项:

      • 自动
      • 证书 CN
      • 证书 SAN:UPN
      • 证书 SAN:电子邮件
      • 证书 SAN:DNS
    • 配置的端口 VLAN ID:身份验证成功后设备在特定端口上分配到的 VLAN ID。
    • NAS IP 地址:发出身份验证请求的网络访问服务器(网关设备)的 IP 地址。

    匹配标准和策略允许作
    证书属性 身份验证期间使用的一组用户或设备证书字段。

    选项:

    • 通用名 (CN)
    • 主题
    • 序号
    • 发行
    • 使用者备用名称 (SAN)

    匹配标准

    客户名单

    由通配符值标识的 MAC 地址或 MAC 组织唯一标识符 (OUI) 的列表。例如:1122AA33BB44 或 11-22-AA-33-BB-44 或 11-22-AA*

    对于不支持 802.1X 的设备,您可以使用 客户端列表 来允许获得批准的设备访问网络。

    匹配标准
    SSID

    在用户或设备身份验证期间使用的 SSID 名称,基于传入被叫站标识符属性。您可以使用逗号分隔的值将多个 SSID 组合在一个标签中。

    匹配标准
    目录属性 用户组成员身份。身份提供商 (IdP) 在用户或设备授权期间提供用户组信息。

    匹配标准
    MDM 合规性 在策略规则的“匹配”部分中使用,方法是评估在授权期间从移动设备管理提供程序收到的客户端状况符合性。
    • 顺从的
    • 不合规
    • 未知

    匹配标准
    客户端标签 用于匹配 NAC 端点数据库中分配给某个 MAC 地址的标签或标签列表。输入文本。示例:building3, floor2, printer。

    匹配标准
  3. 单击“创建”以保存新标签的设置。
    在此任务中创建的标签可供您在创建身份验证策略时选择为匹配条件或策略允许作。

另见