Для аутентификации пользователей по протоколу EAP-PEAP используется сертификат, выпущенный публичным центром сертификации, в результате чего для его проверки не требуется каких либо действий с сертификатом со стороны клиента. Данный сертификат выпускается сроком на один год и требует обновления по истечению срока действия.

Проверить окончание срока действия сертификата можно командой:

sudo docker exec -it naice-radius openssl x509 -in /etc/raddb/certs/tls/trusted_server_chain.crt -noout -enddate
notAfter=Jan 12 07:17:16 2025 GMT

По умолчанию сертификат встроен в контейнер и обновляется по мере выхода новых версий NAICE. Для неактуальных версий требуется ручное обновление. Так же при необходимости можно использовать произвольный сторонний сертификат.

Актуальный на момент выхода данной версии NAICE сертификат : radius_certs_to_21012026.tar.gz


Для ручной замены сертификатов RADIUS-сервера необходимо выполнить следующие действия:

  1. На сервере с NAICE создать директорию, в которую поместить сертификаты из архива (например, /директория-установки-NAICE/tls):

    sudo mkdir /etc/docker-naice/tls
  2. Перенести файлы сертификатов в ранее созданную папку.
  3. Проверить и при необходимости назначить корректные права доступа и владельца файлов:

    sudo chown root:root /etc/docker-naice/tls
    sudo chmod 600 /etc/docker-naice/tls
  4. Пробросить папку с сертификатами в контейнер naice-radius с помощью volume, отредактировав docker-compose.yml:

    docker-compose.yml
      naice-radius:
      [...]
        volumes:
          - ${RADIUS_LOG_PATH}:/opt/var/log/radius
          - ./tls:/opt/etc/raddb/certs/tls
  5. Указать названия новых файлов в переменных окружения .env, если они отличаются от существующих, указать при необходимости пароль к файлу ключа сертификата:

    .env
    RADIUS_CERTS_CA_CERT_FILE: trusted_server.crt             # имя файла корневого (CA) сертификата
    RADIUS_CERTS_PRIVATE_KEY_FILE: trusted_server.k           # имя файла приватного ключа сертификата сервера
    RADIUS_CERTS_PRIVATE_KEY_PASSWORD:                        # пароль к файлу приватного ключа сертификата сервера; оставьте пустым, если файл приватного ключа не защищен паролем
    RADIUS_CERTS_CERTIFICATE_FILE: trusted_server_chain.crt   # имя файла серверного сертификата
  6. Примените внесенные настройки с помощью рестарта контейнера naice-radius:

    sudo docker compose down naice-radius && sudo docker compose up -d naice-radius
  7. Проверить что контейнер с naice-radius запущен успешно:

    sudo docker compose ps -a | grep radius
    WARN[0000] /etc/docker-naice/docker-compose.yml: the attribute `version` is obsolete, it will be ignored, please remove it to avoid potential confusion
    naice-radius   nexus.eltex.loc:9015/naice-radius:0.7   "/docker-entrypoint.…"   naice-radius   10 hours ago   Up 21 seconds (healthy)   0.0.0.0:1812-1813->1812-1813/udp, :::1812-1813->1812-1813/udp, 0.0.0.0:9812->9812/tcp, :::9812->9812/tcp
  8. Если контейнер не запущен - надо просмотреть логи на предмет ошибок командой :

    sudo cat /var/log/radius/radius.log
  9. Проверить работоспособность аутентификации по протоколу EAP-PEAP.
  • Нет меток