Описание

Обобщенно компоненты схемы авторизации можно представить так:

Таким образом, настройка в общем случае будет содержать следующие шаги:

  • Настройка NAS-устройства;
  • Настройка клиента;
  • Настройка в NAICE параметров NAS-устройства и клиента, а также политик аутентификации и авторизации, которые позволят пользователю получить или не получить доступ к сети по определенным правилам.

Настройка NAS устройства на примере MES23хх

Настройка аутентификатора заключается в базовой настройке 802.1x авторизации. Рассмотрим команды для настройки на примере MES23xx.

  1. Включить глобально 801.1x:

    dot1x system-auth-control

  2. Настроить взаимодействие с NAICE:

    radius-server host <IP-адрес NAICE> key <RADIUS secret> usage dot1x

  3. Указать метод проверки подлинности на 801.1x интерфейсах - radius:

    aaa authentication dot1x default radius

  4. Настроить порт подключения клиента:

    interface <порт клиента>
 dot1x port-control auto

Базовая настройка NAICE 

Далее описана последовательность действий, которая позволяет настроить авторизацию пользователя из внутренней БД по политике, основанной на IP-адресе NAS-устройства. 

Пример направлен на получение базовых навыков работы с системой и не затрагивает некоторый функционал, доступный для настройки и не являющийся минимально необходимым.

1. Добавление пользователя

Для прохождения процесса аутентификации клиенту требуется указать учетные данные пользователя. Предварительно этот пользователь должен быть добавлен в NAICE. Доступно создание пользователя в самой системе, а также интеграция с внешними источниками идентификации по протоколу LDAP, такими как MS Active Directory или OpenLDAP. Ниже рассмотрено создание внутреннего пользователя.

Добавление пользователя доступно в разделе Администрирование Управление идентификацией на странице Пользователи сети.

Для добавления пользователя необходимо нажать в правой части поля над таблицей со списком пользователей сети, откроется следующая страница:

ж


Минимально необходимые для заполнения параметры:

  • Статус = Включено. Имеется возможность временно выключить пользователя, что позволит запретить ему аутентификацию без удаления учетной записи;
  • Логин - логин пользователя, с которым клиент будет проходить аутентификацию;
  • Пароль и Подтверждение пароля - пароль пользователя, с которым клиент будет проходить аутентификацию.

Добавление пользователя в группы не является обязательным. Однако группировка пользователей может позволить упростить их администрирование, и в будущем по параметрам группы можно настроить правила политик аутентификации и авторизации.

Более подробно про пользователей, группы пользователей и работу с ними можно узнать с помощью встроенной документации, нажав вверху справа кнопку .


2. Создание профиля сетевого устройства

Профиль сетевого устройства позволяет настроить параметры, общие для нескольких NAS-устройств, и затем при их настройке указывать данный профиль для применения настроенных параметров. В общем случае профиль имеет смысл создавать для устройств одного производителя или одной модели устройств, однако это не строгое правило. Несколько профилей уже предустановлены в системе.

Создание профиля сетевого устройства доступно в разделе Администрирование → Сетевые ресурсы на странице Профили устройств.

Для добавления профиля необходимо нажать в правой части поля над таблицей со списком профилей, откроется следующая страница:

Минимально необходимые для заполнения параметры:

  • Имя - имя профиля;
  • Производитель - производитель сетевого устройства. Данное поле является информационным и не влияет на работу функционала.
  • Поддерживаемые протоколы - включить поддержку протокола RADIUS (по умолчанию включено).

Условия определения типа подключения позволяют по настроенным RADIUS-атрибутам определять, каким образом подключается пользователь. Тип подключения можно использовать в наборах политик в качестве условия. Если данные настройки не указаны, то тип подключения не будет определен, но авторизация будет возможна. Так как предполагается настройка в качестве условия подключения NAS IP аутентификатора, то в данном случае настройка не обязательна.

Блок настроек MAB позволяет включить возможность аутентификации на данном устройстве по MAC-адресу, а также указывать особенности MAB на данном типе устройств.

Разрешения позволяют для устройств с данным профилем разрешить или запретить настройку типичных сценариев авторизации ("общие задачи") - настройку VLAN и ACL в профиле авторизации, а также настроить, какие именно RADIUS-атрибуты отвечают за выдачу VLAN и ACL для устройств с данным профилем (могут быть специфичны для различных производителей). Так как выдача VLAN и ACL в данном примере не предполагается, то настройка не обязательна.

По умолчанию создан профиль сетевого устройства "Eltex MES23xx", который адаптирован под данную серию коммутаторов. При желании в дальнейшей настройке можно использовать данный профиль.

Более подробно про работу с профилями сетевых устройств можно узнать с помощью встроенной документации, нажав вверху справа кнопку .


3. Добавление сетевого устройства

На данном шаге нужно описать NAS-устройство и параметры взаимодействия с ним.

Создание сетевого устройства доступно в разделе Администрирование Сетевые ресурсы на странице Устройства.

Для добавления устройства необходимо нажать в правой части поля над таблицей со списком устройств, откроется следующая страница:

Минимально необходимые для заполнения параметры:

  • Имя - имя устройства;
  • Профиль - выбор ранее созданного профиля сетевого устройства;
  • IPv4 - IPv4-адрес устройства. Именно он будет использоваться в качестве NAS-IP-Address в наборах политик;
  • Секретный ключ (RADIUS secret) - ключ для взаимодействия с сетевым устройством по протоколу RADIUS. Должен совпадать с ключом, настроенным на самом устройстве.

Добавление устройства в группы не является обязательным. Однако распределение устройств по группам позволит упростить их администрирование, а также добавит возможность настроить правила политик аутентификации и авторизации на основе принадлежности устройства к группе.

Более подробно про настройку сетевых устройств можно узнать с помощью встроенной документации, нажав вверху справа кнопку .


4. Создание логического условия с NAS-IP-Address

Логические условия позволяют задать условия, при которых политику или правило политики необходимо применять.

В качестве примера составим простое условие - RADIUS-атрибут NAS-IP-Address словаря RADIUS равен IPv4-адресу NAS-устройства.

Создание логического условия с последующим его сохранением в библиотеку условий доступно в разделе Политика → Элементы на странице Условия.

В редакторе условия в поле Атрибут необходимо нажать на и в окне выбора атрибута найти RADIUS-атрибут NAS-IP-Address:

Настроить оператор Равно и в поле значения вписать IPv4-адрес NAS-устройства.

Сохранить условие как новое условие в библиотеку и указать для него Имя. Убедиться, что условие появилось в списке в колонке Библиотека.

Логическое условие можно также создавать прямо во время создания политик.

Более подробно про настройку логических условий можно узнать с помощью встроенной документации, нажав вверху справа кнопку .

5. Указание доступных для аутентификации протоколов

Аутентификация клиента может проходить по различным протоколам аутентификации, предполагающие разный уровень безопасности при обмене RADIUS-пакетами. Может потребоваться запрет аутентификации по менее безопасным протоколам или же разрешение аутентификации по более простым протоколам, так как клиент поддерживает только их. За это отвечают службы доступных протоколов.

Создание службы доступных протоколов доступно в разделе Политики доступа → Элементы на странице Разрешенные протоколы.

Для добавления службы необходимо нажать в левой части поля над таблицей со списком служб, откроется следующая страница:

Минимально необходимые для заполнения параметры:

  • Имя - название службы доступных протоколов;
  • Доступные протоколы - выбор протоколов, по которым необходимо разрешить аутентификацию.

Если суппликант - компьютер с ОС Windows, то скорее всего предпочитаемый протокол аутентификации будет EAP-PEAP (а именно EAP-PEAP-MSCHAPv2). В связи с этим в данном случае стоит выбрать доступный протокол EAP-PEAP.

Более подробно про настройку доступных протоколов можно узнать с помощью встроенной документации, нажав вверху справа кнопку .


6. Создание профиля авторизации

После прохождения аутентификации должна пройти авторизация клиента. В зависимости от условий можно настроить различные результаты (профили) авторизации, которые потом использовать в политике авторизации. Например, можно выдать успешно прошедшему аутентификацию клиенту определенные VLAN и ACL. Так как выдача VLAN и ACL завязана на различные RADIUS-атрибуты для различных устройств, то профиль авторизации привязан к профилю устройства-аутентификатора.

Создание службы доступных протоколов доступно в разделе Политики доступа → Элементы на странице Результаты, вкладка Профили авторизации

Для добавления профиля необходимо нажать в правой части поля над таблицей со списком профилей, откроется следующая страница:

Минимально необходимые для заполнения параметры:

  • Имя - название профиля авторизации;
  • Профиль устройства - профиль устройства, для которого должен применяться профиль авторизации. От данной настройки зависит возможность настройки общих задач и то, какие именно атрибуты в них будут использоваться;
  • Тип доступа - для какого результата аутентификации (ACCESS_ACCEPT или ACCESS_REJECT) применять данный профиль авторизации.

Общие задачи VLAN и ACL позволяют выдать клиенту соответствующие параметры. Так как выдача VLAN и ACL в данном сценарии не предполагается, то в данном случае настройка не обязательна.

Расширенные настройки атрибутов позволяют гибко настроить, какой атрибут и с каким значением поместить в RADIUS-ответ.

Более подробно про настройку профилей авторизации можно узнать с помощью встроенной документации, нажав в верху справа кнопку .


7. Создание набора политик аутентификации и авторизации 

Набор политик аутентификации и авторизации позволяет настроить различную обработку RADIUS-запросов от суппликантов в зависимости от указанных условий, и определять различные результаты аутентификации и авторизации.

Настроим простой набор политик с условием применения NAS-IP-Address = NAS IP устройства. 

Создание службы доступных протоколов доступно в разделе Политика → Наборы политик.

Для добавления нового набора политик необходимо нажать в крайней левой колонке таблицы со списком, в начало списка добавится новый набор:

Заполнить следующие параметры:

  • Имя - имя набора политик;
  • Условия - выбор ранее созданного логического условия. Для этого необходимо нажать , в появившемся окне найти в Библиотеке ранее созданное условие и перетащить его в область Редактора. Нажать на кнопку Использовать.
  • Доступные протоколы - выбор ранее созданной службы доступных протоколов.

Нажать в правом нижнем углу страницы. Это действие сохраняет весь список набора политик.

После этого необходимо перейти в редактирование конкретной политики через :

Настроить новое правило для политики аутентификации через :

  • Статус - включено (, по умолчанию);
  • Имя - имя правила;
  • Условия - для простоты лучше выбрать аналогичное условие, что и для всего набора политик. При необходимости здесь можно настроить любое подходящее условие;
  • Цепочки идентификации - выбрать Default sequence. Данная цепочка идентификации содержит только один источник учетных данных пользователей - локальная база данных, куда и был сохранен пользователь на первом шаге инструкции.

Настроить новое правило для политики авторизации через :

  • Статус - включено (, по умолчанию);
  • Имя - имя правила;
  • Условия - для простоты лучше выбрать аналогичное условие, что и для всего набора политик. При необходимости здесь можно настроить любое подходящее условие;
  • Профили - выбрать ранее добавленный профиль авторизации.

Нажать в правом нижнем углу страницы.

Более подробно про настройку политик можно узнать с помощью встроенной документации, нажав в верху справа кнопку .

Настройка клиентского подключения

Более подробно описано в разделе: v0.8_8.1 Настройка подключения проводного (wired) клиента

При подключении проводной клиент как правило требует, чтобы возможность использовать авторизацию 802.1x была включена в настройках его сетевого подключения. Без этого он не попытается пройти авторизацию!

Windows 10

Для настройки клиентского подключения на Windows 10 необходимо:

1. Нажать правой кнопкой мыши внизу справа в баре на подключение и выбрать "Open Network & Internet settings".

2. В открывшемся окне перейти в настройки Ethernet и нажать справа Change adapter options.

3. Нажать правой кнопкой мыши на сетевой интерфейс, через который происходит подключение к коммутатору, и выбрать Properties.

4. В открывшемся окне перейти во вкладку Authentication, и включить:

  • Enable IEEE 802.1x authentication;
  • Choose a network authentication method: Microsoft: Protected EAP (PEAP);
  • Remember my credentials for this connection each time I'm logged on;
  • Fallback to unauthorized network access.

5. Нажать кнопку Additional Settings.

6. В открывшемся окне выбрать Specify authentication mode: User authentication и нажать Replace credentials.

7. Ввести имя пользователя / пароль и нажать OK:

Ubuntu 20

В качестве приложения для управления сетевыми соединениями рекомендуется использовать NetworkManager.

Для настройки клиентского подключения на Ubuntu 20 необходимо:

1. Нажать на значок сетевого соединения и выбрать Edit connections:

2. Выбирать нужное сетевое подключение и нажать внизу на шестеренку.

3. В открывшемся окне выбрать вкладку 802.1X security:

4. В поле Authentication выбрать Protected EAP (PEAP):

  • Authentication: Protected EAP (PEAP);
  • CA certificate: выбрать сертификат CA, которым подписан сертификат RADIUS-сервера (надо предварительно загрузить на клиента). Если нет необходимости проверять сертификат сервера, включить настройку No CA certificate is required;
  • PEAP version: Automatic;
  • Inner authentication: MSCHAPv2;
  • Username: имя пользователя;
  • Password: пароль пользователя.

5. Нажимать кнопку Save.

Как правило полученные настройки могут не примениться сразу - потребуется отключить / включить интерфейс.

Также NetworkManager может вообще не управлять сетевыми подключениями (вместо него это может делать, например, netplan), и в этом случае потребуется переключить управление.

Может потребоваться перезагрузка компьютера после изменения настроек.

Проверка успешности подключения

После настройки клиентского подключения и попытки авторизации результат авторизации можно увидеть в разделе Мониторинг → RADIUS → Пользовательские сессии.

Данный раздел позволяет просматривать подключения пользователей за определенный период времени, производить фильтрацию для поиска необходимых записей и просматривать детальную информацию об определенной сессии. В случае неуспешной авторизации информация о сессии может позволить понять причину ошибки и скорректировать настройки.

Более подробно про работу с мониторингом можно узнать с помощью встроенной документации, нажав вверху справа кнопку .


  • Нет меток