Введение

Для успешного взаимодействия сетевых устройств с NAICE по протоколу RADIUS требуется настроить сетевое устройство и внести его данные в настройки Пользователи и устройства → Сетевые ресурсы → Устройства. Ошибки в настройках приводят к тому, что сессия с попыткой подключения клиентского устройства не отображается в разделе Мониторинг → RADIUS → пользовательские сессии. Это может происходить по следующим причинам:

  • Некорректные настройки сетевого устройства, используемого для подключения пользователя.
  • Некорректная настройка устройства пользователя.
  • Не совпадающий секретный ключ сетевого устройства в конфигурации устройства и настройках сетевого устройства NAICE.
  • Не совпадающий IP-адрес сетевого устройства в настройках NAICE.

Для анализа поведения во всех случаях потребуется проанализировать логи сервиса naice-radius.

Получение логов сервиса naice-radius

Для получения логов требуется зайти на сервер, перейти в папку установки NAICE (по умолчанию это /etc/docker-naice):

cd /etc/docker-naice/

Выполнить команду в папке установки:

sudo docker compose logs naice-radius

Пример вывода логов:

tester@ubuntu:/etc/docker-naice$ sudo docker compose logs naice-radius
WARN[0000] /etc/docker-naice/docker-compose.yml: the attribute `version` is obsolete, it will be ignored, please remove it to avoid potential confusion
naice-radius  | Getting debug state failed: ptrace capability not set.  If debugger detection is required run as root or: setcap cap_sys_ptrace+ep <path_to_radiusd>
naice-radius  | Sat Mar 22 14:23:46 2025 : Info: Ready to process requests

Для удобства просмотра логов в реальном времени времени можно использовать ключ "-f":

sudo docker compose logs -f naice-radius


В логах нет информации о попытках отправки RADIUS пакетов с сетевого устройства

Если в логах нет информации о пытках отправки RADIUS пакетов со стороны сетевого устройства это может быть вызвано:

  • Блокирование прохождения пакетов RADIUS к NAICE файрволом. Требуется обеспечить возможность прохождения пакетов по протоколу UDP на порт 1812 сервера с NAICE.
  • Некорректная настройка сетевого оборудования. Требуется проверить настройки сетевого оборудования, убедиться включена аутентификация dot1x глобально и на порту пользователя, корректность указания radius-server host и доступность адреса сервера NAICE по маршрутизации.
  • Некорректная настройка пользовательского устройства. Требуется проверить настройки аутентификации 8021x в соответствие с инструкцией производителя операционной системы.

В логах есть информация о попытках обработки RADIUS пакетов получаемых от сетевого устройства

В логах есть информация о попытках подключения со стороны сетевого устройства вида:

naice-radius  | Sat Mar 22 14:45:46 2025 : Error: Ignoring request to auth address * port 1812 bound to server default from unknown client 100.123.0.10 port 49206 proto udp

Причины, которые могут вызвать данное поведение:

  • Сетевое устройство не добавлено  в NAICE в разделе Пользователи и устройства → Сетевые ресурсы → Устройства. Перейти в раздел и добавить сетевое устройство.
  • Сетевое устройство добавлено в NAICE с неправильным IP-адресом. Перейти в раздел Пользователи и устройства → Сетевые ресурсы → Устройства, проверить и исправить IP-адрес, указанный в настройках сетевого устройства.
  • Сетевое устройство имеет несколько IP-адресов и отправляет RADIUS пакеты с адреса-источника отличного от заданного в настройках сетевого устройства в NAICE. Определить какое поведение ожидается и в зависимости от этого исправить настройки на сетевом устройстве или в настройках сетевого устройства в NAICE.


В логах есть информация о попытках подключения со стороны сетевого устройства вида:

naice-radius  | Sat Mar 22 14:53:12 2025 : Info: Dropping packet without response because of error: Received packet from 100.123.0.10 with invalid Message-Authenticator!  (Shared secret is incorrect.) (from client коммутатор 1)

Ошибка в логах подключения сетевого устройства "Shared secret is incorrect." означает, что указан разный ключ RADIUS на сетевом устройстве и в настройках сетевого устройства в NAICE. Требуется определить где он указан неправильно и исправить его. Далее возможны два варианта:

  1. Секретный ключ неправильно указан в настройках сетевого устройства. Исправить настройки взаимодействия с RADIUS в конфигурации сетевого устройства в соответствие с документацией производителя.
  2. Секретный ключ неправильно указан в настройках NAICE. В этом случае требуется исправить его в настройках сетевого устройства в разделе Пользователи и устройства → Сетевые ресурсы → Устройства, в блоке "Настройки аутентификации RADIUS" в поле Секретный ключ и Сохранить настройку.

    Если настройка секретного ключа была изменена в NAICE после того как от сетевого устройства были получены RADIUS запросы требуется выполнить перезапуск сервиса naice-radius!

    Для этого надо зайти в папку установки NAICE:

    cd /etc/docker-naice/

    Выполнить в папке команду:

    sudo docker compose stop naice-radius && sudo docker compose up -d naice-radius


    Пример успешного выполнения команды 
    tester@ubuntu:/etc/docker-naice$ sudo docker compose stop naice-radius && sudo docker compose up -d naice-radius
WARN[0000] /etc/docker-naice/docker-compose.yml: the attribute `version` is obsolete, it will be ignored, please remove it to avoid potential confusion
[+] Stopping 1/1
 ✔ Container naice-radius  Stopped                                                                                                                                                        0.6s
WARN[0000] /etc/docker-naice/docker-compose.yml: the attribute `version` is obsolete, it will be ignored, please remove it to avoid potential confusion
[+] Running 1/1
 ✔ Container naice-radius  Started

     Данное действие необходимо, т.к. данные по конфигурации взаимодействия с сетевым устройством кэшируются на один час после его первого обращения!

Если после исправления конфигурации/настроек в логах появилась информация вида:

naice-radius  | Sat Mar 22 15:06:10 2025 : Info: Adding client 100.123.0.10/32

naice-radius  | Sat Mar 22 15:06:12 2025 : Auth: (19)   Login OK: [ivan.ivanov@test.loc/<via Auth-Type = eap>] (from client коммутатор 1 port 50 cli 7C-C2-C6-4B-0D-C9 via TLS tunnel)
naice-radius  | Sat Mar 22 15:06:12 2025 : Auth: (20) Login OK: [ivan.ivanov@test.loc/<via Auth-Type = eap>] (from client коммутатор 1 port 50 cli 7C-C2-C6-4B-0D-C9)

naice-radius  | Sat Mar 22 15:08:11 2025 : Auth: (48) Invalid user: [ivan/<via Auth-Type = eap>] (from client коммутатор 1 port 50 cli 7C-C2-C6-4B-0D-C9)
naice-radius  | Sat Mar 22 15:08:11 2025 : Auth: (48) Login incorrect: [ivan/<via Auth-Type = eap>] (from client коммутатор 1 port 50 cli 7C-C2-C6-4B-0D-C9)

Это свидетельствует о том, что успешный обмен RADIUS-пакетами  между NAICE и сетевым устройством возможен и данные о попытках подключения пользовательских устройств должны появиться в разделе Мониторинг → RADIUS → пользовательские сессии.

Особенности диагностики MAB аутентификации

В общем случае при выполнении MAB аутентификации используется MAC-адрес подключающегося устройства в атрибутах User-Name и User-Password. Данное поведение может отличаться для оборудования различных вендоров, поэтому необходимо предварительно ознакомится с документацией производителя.

При выполнении MAB аутентификации, в случае несовпадения ключа RADIUS в настройках NAICE и на сетевом устройстве лог о попытке подключения устройства появиться в разделе Мониторинг → RADIUS → пользовательские сессии.

Данное поведение может свидетельствовать как о несовпадении пароля в атрибуте User-Password с User-Name так и о несовпадении ключа RADIUS. Необходимо в первую очередь проверить логи сервиса naice-radius. Если в них есть при попытках подключения устройства логи вида:

naice-radius  | Wed Feb  4 02:45:17 2026 : Auth: (1) Login incorrect (pap: Cleartext password does not match "known good" password): [a8f94b26c016/???? ???`X???ԙ?] (from client sw9 port 2 cli a8-f9-4b-26-c0-16)
naice-radius  | Wed Feb  4 02:45:51 2026 : Auth: (5) Login incorrect (pap: Cleartext password does not match "known good" password): [a8f94b26c016/?nRl?)	"???i] (from client sw9 port 2 cli a8-f9-4b-26-c0-16)
naice-radius  | Wed Feb  4 02:46:22 2026 : Auth: (9) Login incorrect (pap: Cleartext password does not match "known good" password): [a8f94b26c016/?????????B??c?s#] (from client sw9 port 2 cli a8-f9-4b-26-c0-16)

Необходимо в первую очередь повторно задать одинаковый ключ RADIUS в настройках коммутатора и NAICE, убедившись в его совпадении в ходе выполнения настройки. После этого выполнить рестарт сервиса naice-radius.

Если ошибка продолжает сохраняться - необходимо обратится к документации производителя сетевого оборудования и уточнить, как именно выполняется заполнение атрибута User-Password в ходе выполнения MAB аутентификации. При необходимости выполнить изменение настройки проверки пароля при выполнении MAB аутентификации в настройках профиля сетевого оборудования в разделе Пользователи и устройства → Сетевые ресурсы → Профили устройств в настройках MAB.


  • Нет меток