Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configurar etiquetas de directiva de autenticación

Agregue etiquetas para identificar los usuarios y recursos a los que desea hacer referencia en sus políticas de autenticación, para controlar el acceso a la red.

Una directiva de control de acceso a la red es un conjunto de reglas y directrices para proporcionar acceso seguro a los dispositivos que intentan conectarse a una red. Una política consta de ciertos criterios que deben cumplir los dispositivos y los usuarios para obtener acceso a la red y usar los recursos de red.

Puede configurar Juniper Mist Access Assurance con una política de autenticación para permitir que los dispositivos administrados por Juniper Mist conecten los clientes a la red o a las aplicaciones.

Juniper Mist aprovecha las "etiquetas" como criterios de coincidencia de políticas y las etiquetas de uso aplican las acciones de política relevantes que especifican el permiso. Es decir, al crear políticas de autenticación, puede utilizar las etiquetas como:

  • Criterios de coincidencia: conjunto de criterios de coincidencia que deben cumplirse para aplicar la regla de directiva.
  • Acción de permiso de política: conjunto de acciones que se aplicarán en caso de coincidencia, como la aplicación de atributos adicionales (VLAN, rol y etiqueta de política basada en grupos).

Crear etiquetas

Puede crear etiquetas en las páginas siguientes:

  • Políticas de autenticación
  • Etiquetas de política de autenticación

Para crear etiquetas en la página Etiquetas de directiva de autenticación:

  1. En el portal de Juniper Mist, en el menú de la izquierda, seleccione Organización > Etiquetas de política de acceso > autenticación.

    Aparecerá una lista de las etiquetas existentes, si las hubiera.

  2. En Etiquetas de directiva de autenticación, haga clic en Agregar etiquetas e introduzca los siguientes detalles:
    • Nombre de etiqueta (Label Name): introduce un nombre único para la etiqueta. Puede utilizar hasta 32 caracteres, incluidos caracteres alfanuméricos y uno o más de los caracteres especiales.
    • Tipo de etiqueta: especifique el tipo de etiqueta. Consulte la información de la Tabla 1 para seleccionar el tipo de etiqueta.
    Tabla 1: Parámetros para la nueva etiqueta

    Tipo de etiqueta

    Detalles

    Rol en la regla de directiva de autenticación

    Atributo AAA

    Un grupo de atributos de usuario que funciona como criterio de coincidencia y ayuda a determinar la acción de directiva que especifica el permiso.

    Opciones:

    • Rol: rol de usuario asignado. Esto se puede usar para aplicar políticas basadas en roles.
    • VLAN: ID de VLAN o VLAN denominadas. Esto se puede utilizar para asignar VLAN a un cliente.
    • Dominio: un dominio utilizado en la autenticación, a menudo para especificar dónde son válidas las credenciales de usuario.
    • Nombre de usuario: identificador único asignado a un individuo o dispositivo. Esto se puede utilizar para que coincida con el atributo RADIUS de nombre de usuario del dispositivo de autenticación.
    • Etiqueta GBP: etiqueta de directiva de grupo) que se usa para asignar grupos específicos de usuarios o dispositivos a diferentes tipos de administración de tráfico de red.
    • Tiempo de espera de la sesión: Establece el tiempo máximo permitido antes de que se restablezcan las sesiones de usuario, de 3600 a 604800 segundos.
    • Atributo específico del proveedor personalizado: atributos personalizados que se pueden configurar para que se devuelvan en el mensaje Access-Accept. Estos atributos se adaptan a proveedores específicos y pueden incluir roles o permisos. Ejemplos:
      • Cisco: Cisco-AVPair, Cisco-NAS-Port, Cisco-Fax-Account-ID-Origin.
      • Juniper: nombre de usuario local de Juniper.
      • Palo Alto Networks: PaloAlto-Admin-Role, PaloAlto-Admin-Access-Domain.

      • Puede encontrar atributos específicos del proveedor (VSA) para diferentes proveedores en sus respectivas guías de documentación o configuración.

    • Atributo RADIUS estándar personalizado (estos son atributos estándar de IETF RADIUS como Idle-Timeout=600 o Termination-Action=RADIUS-Request, y se pueden modificar con atributos adicionales.
    • Configuración dinámica de puertos cableados (son nombres de VLAN que Access Assurance devuelve para el atributo RADIUS Egress-VLAN-Name en el mensaje Access-Accept, y son especialmente útiles con configuraciones de puertos dinámicos, por ejemplo, para usar automáticamente puertos troncales para conexiones AP o para diferenciar entre VLAN etiquetadas y no etiquetadas).
    • Nombre de usuario devuelto: Identificador del usuario, como nombre de usuario, correo electrónico que ingresa al sistema una vez que el usuario se ha autenticado correctamente.

      Opciones:

      • Automático
      • Certificado CN
      • Certificado SAN:UPN
      • Certificado SAN:Correo electrónico
      • Certificado SAN:DNS
    • ID de VLAN de puerto configurado: ID de VLAN al que se asigna un dispositivo en un puerto determinado después de una autenticación correcta.
    • Dirección IP del NAS: La dirección IP del servidor de acceso a la red (el dispositivo de puerta de enlace) donde se realiza la solicitud de autenticación.

    Criterios de coincidencia y acción de permisos de políticas
    Atributo de certificado Un grupo de campos de certificado de usuario o dispositivo utilizados durante la autenticación.

    Opciones:

    • Nombre común (CN)
    • Asunto
    • Número de serie
    • Emisor
    • Nombre alternativo del sujeto (SAN)

    Criterios de coincidencia

    Lista de clientes

    Lista de direcciones MAC o identificadores únicos de organización (OUI) MAC identificados mediante valores comodín. Ejemplos: 1122AA33BB44 o 11-22-AA-33-BB-44 o 11-22-AA*

    Para los dispositivos que no admiten 802.1X, puede usar listas de clientes para permitir que los dispositivos aprobados accedan a la red.

    Criterios de coincidencia
    SSID

    Nombre de SSID utilizado durante la autenticación de usuario o dispositivo, basado en el atributo de identificador de estación llamado entrante. Puede combinar varios SSID en una etiqueta mediante valores separados por comas.

    Criterios de coincidencia
    Atributo de directorio Pertenencia a grupos de usuarios. El proveedor de identidad (IdP) proporciona información del grupo de usuarios durante la autorización de usuarios o dispositivos.

    Criterios de coincidencia
    Cumplimiento de MDM Se usa en la sección Coincidir de la regla de directiva al evaluar el cumplimiento de la postura del cliente recibida del proveedor de administración de dispositivos móviles durante la autorización.
    • Dócil
    • No conforme
    • Desconocido

    Criterios de coincidencia
    Etiqueta de cliente Se utiliza para hacer coincidir una etiqueta o una lista de etiquetas asignadas a una dirección MAC en la base de datos de puntos de conexión de NAC. Introduzca texto. Ejemplo: edificio3, piso2, impresora.

    Criterios de coincidencia
  3. Haga clic en Crear para guardar la configuración de la nueva etiqueta.
    Las etiquetas que cree en esta tarea estarán disponibles para que las seleccione como condición coincidente o acción de permiso de política al crear directivas de autenticación.

Ver también