Введение

Для успешного взаимодействия сетевых устройств с NAICE по протоколу RADIUS требуется настроить сетевое устройство и внести его данные в настройки Администрирование → Сетевые ресурсы → Устройства. Ошибки в настройках приводят к тому, что сессия с попыткой подключения клиентского устройства не отображается в разделе Мониторинг → RADIUS → пользовательские сессии. Это может происходить по следующим причинам:

• Некорректные настройки сетевого устройства, используемого для подключения пользователя.
• Некорректная настройка устройства пользователя.
• Не совпадающий секретный ключ сетевого устройства в конфигурации устройства и настройках сетевого устройства NAICE.
• Не совпадающий IP-адрес сетевого устройства в настройках NAICE.

Для анализа поведения во всех случаях потребуется проанализировать логи сервиса naice-radius.

Получение логов сервиса naice-radius

Для получения логов требуется зайти на сервер, перейти в папку установки NAICE (по умолчанию это /etc/docker-naice):

cd /etc/docker-naice/

Выполнить команду в папке установки:

sudo docker compose logs naice-radius

Пример вывода логов:

tester@ubuntu:/etc/docker-naice$ sudo docker compose logs naice-radius
WARN[0000] /etc/docker-naice/docker-compose.yml: the attribute `version` is obsolete, it will be ignored, please remove it to avoid potential confusion
naice-radius  | Getting debug state failed: ptrace capability not set.  If debugger detection is required run as root or: setcap cap_sys_ptrace+ep <path_to_radiusd>
naice-radius  | Sat Mar 22 14:23:46 2025 : Info: Ready to process requests

sudo docker compose logs -f naice-radius

В логах нет информации о попытках отправки RADIUS пакетов с сетевого устройства

Если в логах нет информации о пытках отправки RADIUS пакетов со стороны сетевого устройства это может быть вызвано:

• Блокирование прохождения пакетов RADIUS к NAICE файрволом. Требуется обеспечить возможность прохождения пакетов по протоколу UDP на порт 1812 сервера с NAICE.
• Некорректная настройка сетевого оборудования. Требуется проверить настройки сетевого оборудования, убедиться включена аутентификация dot1x глобально и на порту пользователя, корректность указания radius-server host и доступность адреса сервера NAICE по маршрутизации.
• Некорректная настройка пользовательского устройства. Требуется проверить настройки аутентификации 8021x в соответствие с инструкцией производителя операционной системы.

В логах есть информация о попытках обработки RADIUS пакетов получаемых от сетевого устройства

В логах есть информация о попытках подключения со стороны сетевого устройства вида:

naice-radius  | Sat Mar 22 14:45:46 2025 : Error: Ignoring request to auth address * port 1812 bound to server default from unknown client 100.123.0.10 port 49206 proto udp

Причины, которые могут вызвать данное поведение:

• Сетевое устройство не добавлено  в NAICE в разделе Администрирование → Сетевые ресурсы → Устройства. Перейти в раздел и добавить сетевое устройство.
• Сетевое устройство добавлено в NAICE с неправильным IP-адресом. Перейти в раздел Администрирование → Сетевые ресурсы → Устройства, проверить и исправить IP-адрес, указанный в настройках сетевого устройства.
• Сетевое устройство имеет несколько IP-адресов и отправляет RADIUS пакеты с адреса-источника отличного от заданного в настройках сетевого устройства в NAICE. Определить какое поведение ожидается и в зависимости от этого исправить настройки на сетевом устройстве или в настройках сетевого устройства в NAICE.

В логах есть информация о попытках подключения со стороны сетевого устройства вида:

naice-radius  | Sat Mar 22 14:53:12 2025 : Info: Dropping packet without response because of error: Received packet from 100.123.0.10 with invalid Message-Authenticator!  (Shared secret is incorrect.) (from client коммутатор 1)

Ошибка в логах подключения сетевого устройства "Shared secret is incorrect." означает, что указан разный ключ RADIUS на сетевом устройстве и в настройках сетевого устройства в NAICE. Требуется определить где он указан неправильно и исправить его. Далее возможны два варианта:

1. Секретный ключ неправильно указан в настройках сетевого устройства. Исправить настройки взаимодействия с RADIUS в конфигурации сетевого устройства в соответствие с документацией производителя.
2. Секретный ключ неправильно указан в настройках NAICE. В этом случае требуется исправить его в настройках сетевого устройства в разделе Администрирование → Сетевые ресурсы → Устройства, в блоке "Настройки аутентификации RADIUS" в поле Секретный ключ и Сохранить настройку.

   Если настройка секретного ключа была изменена в NAICE после того как от сетевого устройства были получены RADIUS запросы требуется выполнить перезапуск сервиса naice-radius!

   Для этого надо зайти в папку установки NAICE:

   cd /etc/docker-naice/

   Выполнить в папке команду:

   sudo docker compose stop naice-radius && sudo docker compose up -d naice-radius

   
   

   Пример успешного выполнения команды Развернуть исходный код

   tester@ubuntu:/etc/docker-naice$ sudo docker compose stop naice-radius && sudo docker compose up -d naice-radius
   WARN[0000] /etc/docker-naice/docker-compose.yml: the attribute `version` is obsolete, it will be ignored, please remove it to avoid potential confusion
   [+] Stopping 1/1
    ✔ Container naice-radius  Stopped                                                                                                                                                        0.6s
   WARN[0000] /etc/docker-naice/docker-compose.yml: the attribute `version` is obsolete, it will be ignored, please remove it to avoid potential confusion
   [+] Running 1/1
    ✔ Container naice-radius  Started

    Данное действие необходимо, т.к. данные по конфигурации взаимодействия с сетевым устройством кэшируются на один час после его первого обращения!

Если после исправления конфигурации/настроек в логах появилась информация вида:

naice-radius  | Sat Mar 22 15:06:10 2025 : Info: Adding client 100.123.0.10/32

naice-radius  | Sat Mar 22 15:06:12 2025 : Auth: (19)   Login OK: [ivan.ivanov@test.loc/<via Auth-Type = eap>] (from client коммутатор 1 port 50 cli 7C-C2-C6-4B-0D-C9 via TLS tunnel)
naice-radius  | Sat Mar 22 15:06:12 2025 : Auth: (20) Login OK: [ivan.ivanov@test.loc/<via Auth-Type = eap>] (from client коммутатор 1 port 50 cli 7C-C2-C6-4B-0D-C9)

naice-radius  | Sat Mar 22 15:08:11 2025 : Auth: (48) Invalid user: [ivan/<via Auth-Type = eap>] (from client коммутатор 1 port 50 cli 7C-C2-C6-4B-0D-C9)
naice-radius  | Sat Mar 22 15:08:11 2025 : Auth: (48) Login incorrect: [ivan/<via Auth-Type = eap>] (from client коммутатор 1 port 50 cli 7C-C2-C6-4B-0D-C9)

Это свидетельствует о том, что успешный обмен RADIUS-пакетами  между NAICE и сетевым устройством возможен и данные о попытках подключения пользовательских устройств должны появиться в разделе Мониторинг → RADIUS → пользовательские сессии.