Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Konfigurieren von Authentifizierungsrichtlinienbezeichnungen

Fügen Sie Bezeichnungen hinzu, um die Benutzer und Ressourcen zu identifizieren, auf die Sie in Ihren Authentifizierungsrichtlinien verweisen möchten, um den Zugriff auf Ihr Netzwerk zu steuern.

Eine Netzwerkzugriffssteuerungsrichtlinie ist eine Reihe von Regeln und Richtlinien für den sicheren Zugriff auf Geräte, die versuchen, eine Verbindung zu einem Netzwerk herzustellen. Eine Richtlinie besteht aus bestimmten Kriterien, die Geräte und Benutzer erfüllen müssen, um Zugriff auf das Netzwerk und die Nutzung von Netzwerkressourcen zu erhalten.

Sie können Juniper Mist Access Assurance mit einer Authentifizierungsrichtlinie konfigurieren, damit von Juniper Mist verwaltete Geräte die Clients mit dem Netzwerk oder den Anwendungen verbinden können.

Juniper Mist nutzt "Bezeichnungen" als Richtlinienübereinstimmungskriterien, und die Verwendungsbezeichnungen wenden die relevanten Richtlinienaktionen an, die die Berechtigung angeben. Das heißt, wenn Sie Authentifizierungsrichtlinien erstellen, können Sie die Bezeichnungen wie folgt verwenden:

  • Übereinstimmungskriterien: Eine Reihe von Übereinstimmungskriterien, die erfüllt sein müssen, um die Richtlinienregel anzuwenden.
  • Richtlinienzulassungsaktion: Eine Reihe von Aktionen, die im Falle einer Übereinstimmung angewendet werden sollen, z. B. das Anwenden zusätzlicher Attribute (VLAN, Rolle und gruppenbasiertes Richtlinien-Tag).

Labels erstellen

Sie können Etiketten auf den folgenden Seiten erstellen:

  • Authentifizierungsrichtlinien
  • Authentifizierungsrichtlinienbezeichnungen

So erstellen Sie Bezeichnungen auf der Seite "Bezeichnungen für Authentifizierungsrichtlinien":

  1. Wählen Sie im Juniper Mist-Portal im Menü auf der linken Seite die Option Organization > Access > Auth Policy Labels aus.

    Eine Liste der vorhandenen Bezeichnungen, falls vorhanden, wird angezeigt.

  2. Klicken Sie unter Authentifizierungsrichtlinienbezeichnungen auf Bezeichnungen hinzufügen , und geben Sie die folgenden Details ein:
    • Beschriftungsname: Geben Sie einen eindeutigen Namen für die Beschriftung ein. Sie können bis zu 32 Zeichen verwenden, einschließlich alphanumerischer Zeichen und eines oder mehrerer Sonderzeichen.
    • Beschriftungstyp: Geben Sie den Beschriftungstyp an. Beachten Sie die Informationen in Tabelle 1 zur Auswahl des Etikettentyps.
    Tabelle 1: Parameter für neue Beschriftung

    Kennsatztyp

    Details

    Rolle in Authentifizierungsrichtlinienregel

    AAA-Attribut

    Eine Gruppe von Benutzerattributen, die als Übereinstimmungskriterien fungieren und bei der Bestimmung der Richtlinienaktion helfen, die die Berechtigung angibt.

    Optionen:

    • Rolle: Zugewiesene Benutzerrolle. Dies kann bei der Anwendung rollenbasierter Richtlinien verwendet werden.
    • VLAN: VLAN-ID oder benannte VLANs. Dies kann verwendet werden, um einem Client VLAN zuzuweisen.
    • Bereich: Eine Domäne, die bei der Authentifizierung verwendet wird, um anzugeben, wo Benutzeranmeldeinformationen gültig sind.
    • Benutzername: eindeutige Kennung, die einer Person oder einem Gerät zugewiesen ist. Dies kann mit dem RADIUS-Attribut des Benutzernamens des Authentifizierungsgeräts übereinstimmen.
    • GBP-Tag: Gruppenrichtlinien-Tag), das verwendet wird, um bestimmte Gruppen von Benutzern oder Geräten verschiedenen Arten der Netzwerkdatenverkehrsverwaltung zuzuweisen.
    • Sitzungs-Timeout: Legt die maximal zulässige Zeit fest, bevor Benutzersitzungen zurückgesetzt werden, von 3600 bis 604800 Sekunden.
    • Benutzerdefiniertes herstellerspezifisches Attribut: Benutzerdefinierte Attribute, die so konfiguriert werden können, dass sie in der Access-Accept-Nachricht zurückgegeben werden. Diese Attribute sind auf bestimmte Anbieter zugeschnitten und können Rollen oder Berechtigungen umfassen. Beispiele:
      • Cisco: Cisco-AVPair, Cisco-NAS-Port, Cisco-Fax-Account-ID-Origin.
      • Juniper: Juniper-local-user-name.
      • Palo Alto Networks: PaloAlto-Admin-Rolle, PaloAlto-Admin-Access-Domain.

      • Anbieterspezifische Attribute (VSAs) für verschiedene Anbieter finden Sie in der jeweiligen Dokumentation oder in den Konfigurationsleitfäden.

    • Benutzerdefiniertes Standard-RADIUS-Attribut (dies sind IETF-Standard-RADIUS-Attribute wie Idle-Timeout=600 oder Termination-Action=RADIUS-Request, die mit zusätzlichen Attributen geändert werden können.
    • Konfiguration dynamischer kabelgebundener Ports (dies sind VLAN-Namen, die Access Assurance für das RADIUS-Attribut Egress-VLAN-Name in der Access-Accept-Nachricht zurückgibt und die besonders bei dynamischen Portkonfigurationen nützlich sind, z. B. zur automatischen Verwendung von Trunk-Ports für AP-Verbindungen oder zur Unterscheidung zwischen getaggten und nicht getaggten VLANs).
    • Zurückgegebener Benutzername: Kennung des Benutzers, z. B. Benutzername, E-Mail-Adresse, die in das System gelangt, sobald sich der Benutzer erfolgreich authentifiziert hat.

      Optionen:

      • Automatisch
      • Zertifikat CN
      • Zertifikat SAN:UPN
      • Zertifikat SAN:E-Mail
      • Zertifikat SAN:DNS
    • Konfigurierte Port-VLAN-ID: VLAN-ID, der ein Gerät nach erfolgreicher Authentifizierung an einem bestimmten Port zugewiesen wird.
    • NAS-IP-Adresse: Die IP-Adresse des Netzwerkzugriffsservers (des Gateway-Geräts), an den die Authentifizierungsanforderung gestellt wird.

    Kriterien für Übereinstimmungen und Richtlinien lassen Aktionen zu
    Zertifikatsattribut Eine Gruppe von Benutzer- oder Gerätezertifikatfeldern, die während der Authentifizierung verwendet werden.

    Optionen:

    • Allgemeiner Name (CN)
    • Betreff
    • Seriennummer
    • Emittent
    • Alternativer Antragstellername (SAN)

    Übereinstimmungskriterien

    Kundenliste

    Eine Liste von MAC-Adressen oder MAC Organizationally Unique IDs (OUIs), die durch Platzhalterwerte identifiziert werden. Beispiele: 1122AA33BB44 oder 11-22-AA-33-BB-44 oder 11-22-AA*

    Für Geräte, die 802.1X nicht unterstützen, können Sie Clientlisten verwenden, um genehmigten Geräten den Zugriff auf das Netzwerk zu ermöglichen.

    Übereinstimmungskriterien
    SSID

    SSID-Name, der während der Benutzer- oder Geräteauthentifizierung verwendet wird, basierend auf dem Attribut für die eingehende aufgerufene Stationskennung. Sie können mehrere SSIDs in einem Label kombinieren, indem Sie kommagetrennte Werte verwenden.

    Übereinstimmungskriterien
    Verzeichnis-Attribut Mitgliedschaft in Benutzergruppen. Der Identitätsanbieter (IdP) stellt während der Benutzer- oder Geräteautorisierung Benutzergruppeninformationen bereit.

    Übereinstimmungskriterien
    MDM-Compliance Wird im Abschnitt "Übereinstimmung" der Richtlinienregel verwendet, indem die Konformität mit dem Clientstatus ausgewertet wird, die vom Anbieter für die Verwaltung mobiler Geräte während der Autorisierung empfangen wurde.
    • Gefällig
    • Nicht konform
    • Unbekannt

    Übereinstimmungskriterien
    Client-Label Wird verwendet, um eine Bezeichnung oder Liste von Bezeichnungen abzugleichen, die einer MAC-Adresse in der NAC-Endpunktdatenbank zugewiesen sind. Geben Sie Text ein. Beispiel: Gebäude3, Etage2, Drucker.

    Übereinstimmungskriterien
  3. Klicken Sie auf Erstellen, um Ihre Einstellungen für die neue Bezeichnung zu speichern.
    Die Bezeichnungen, die Sie in dieser Aufgabe erstellen, stehen Ihnen beim Erstellen von Authentifizierungsrichtlinien als Übereinstimmungsbedingung oder Richtlinienzulassungsaktion zur Verfügung.

Siehe auch