Описание
В данной инструкции описано, как выполнить настройку аутентификации по протоколу EAP-TLS с использованием "машинного" сертификата компьютера, подключенного к домену MS Active Directory.
В рамках инструкции описывается:
1) Добавление в NAICE сертификатов, необходимых для работы EAP-TLS.
2) Настройка подключения к MS AD, а также добавление MS AD в качестве внешнего источника пользовательских учетных данных.
3) Настройка необходимых для EAP-TLS авторизации сущностей, с учетом требуемых для использования машинных сертификатов изменений.
4) Настройка сетевого подключения ПК-клиента на примере ОС Windows 10.
Требования и ограничения
Общие требования
Требования к RADIUS-сертификатам, OCSP-серверу и ограничения реализации указаны в статье v1.2_3.14 Обновление/замена сертификатов RADIUS для EAP-PEAP/TLS в разделе "Требования и ограничения".
Требования к Active Directory
Требования и ограничения при взаимодействии с источником Active Directory можно просмотреть во встроенной документации. Для этого необходимо на странице Пользователи и устройства → Управление идентификацией → Внешние источники идентификации нажать в меню слева внизу на кнопку : страница со встроенной документации откроется в отдельном разделе.
Установка сертификатов
Установка сертификатов описана в статье v1.2_3.14 Обновление/замена сертификатов RADIUS для EAP-PEAP/TLS. Данная настройка обязательна в части настройки EAP-TLS сертификатов!
Настройка NAICE
Добавление сетевого устройства
Необходимо:
- Настроить профиль для сетевого устройства либо выбрать один из профилей доступных по умолчанию.
- Добавить сетевое устройство в NAICE и назначить ему профиль.
В инструкции будет использоваться встроенный профиль "Eltex-MES". Для настройки своего профиля можно воспользоваться встроенной документацией: v1.2_5. Встроенная документация.
Для работы авторизации 802.1x необходимо соответствующим образом сконфигурировать порты сетевого коммутатора, для этого необходимо обратиться к инструкции производителя.
Для настройки сетевого устройства в NAICE необходимо открыть раздел Пользователи и устройства → Сетевые ресурсы → Устройства и нажать (слева над таблицей). Откроется окно добавления сетевого устройства:
Заполните следующие поля:
- Имя - задать произвольное имя устройства.
- Профиль - необходимо выбрать профиль устройства с поддержкой RADIUS настроенный ранее, либо выбрать один из доступных по умолчанию.
- IPv4 - IP-адрес коммутатора.
- Настройки аутентификации RADIUS - пароль, с которым устройство пройдет аутентификацию как RADIUS-client
Нажать Сохранить после заполнения настроек.
Настройка подключения к MS AD
Подробно весь процесс настройки подключения к Active Directory описан в статье v1.2_4.1.1 Настройка интеграции с Active Directory, но в текущей инструкции потребуются лишь некоторые шаги, рассмотренные ниже.
Создание источника идентификации
Для работы "машинной" авторизации при интеграции с MS AD нельзя использовать в настройке внешнего источника идентификации схему "ACTIVE_DIRECTORY"!
В этом случае используется схема "CUSTOM"!
Открыть раздел Пользователи и устройства → Управление идентификацией → Внешние источники идентификации и нажать . Откроется окно добавления внешнего источника идентификаций:
Настройка структурно разделена на блоки.
Имя- произвольное наименование источника идентификаций.- Описание - произвольное описание источника идентификаций.
- Включить LDAPS (опционально)- использовать защищённое соединение с LDAP-сервером по протоколу LDAPS (LDAP over SSL/TLS)
- Доверять неизвестным источникам (доступно только при включении опции "Включить LDAPS") - разрешить системе NAICE принимать и использовать сертификаты, выданные неизвестными центрами сертификации (CA).
Для корректной и безопасной работы LDAPS необходимо добавить в систему сертификаты источника идентификации. Подробнее см. раздел «Доверенные сертификаты» во встроенной документации NAICE.
Блок "Схема"
Схема- CUSTOM.- В поле Subject Object Class внести значение computer
- В поле Subject name attribute внести значение cn
- В поле Group name attribute внести значение cn
- В поле Group object class внести значение group
- В поле Group map attribute внести значение memberOf
- В поле Subject in group attribute внести значение DISTINGUISHED_NAME
Блок "Подключение"
Admin dn- имя пользователя, который будет использоваться для обращения в Active Directory. Пользователь должен быть предварительно добавлен администратором в Active Directory. Имя пользователя можно задавать в форматах:Admin password- пароль пользователя.Имя хоста- полное имя домена, в котором будет выполняться аутентификация пользователей, напримерtest.loc. Так же можно указать предпочтительный контроллер домена, который будет использоваться для обращений, напримерsrv1.test.loc.Port- порт подключения к контроллеру домена по протоколу LDAP. Как правило, используется порт 389. При включении опции «Включить LDAPS» в процессе создания источника порт автоматически изменится на 636, так как он используется протоколом LDAPS. Если значение порта было задано вручную ранее, автоматическая замена выполнена не будет.
Блок "Структура каталога"
Subject search base- строка поиска атрибутов объектов (в данном случае - компьютеров) в Active Directory по протоколу LDAP, напримерdc=test,dc=loc.Group search base- строка поиска групп в Active Directory по протоколу LDAP, напримерdc=test,dc=loc.
При необходимости ограничить поиск определенными подразделениями можно указать их в строке поиска, например: ou=naice,dc=example,dc=org . Если подразделения является вложенным для другого подразделения необходимо перечислить их все до корня домена, начиная с требуемого подразделения, например: ou=test,ou=naice,dc=example,dc=org .
После заполнения настроек необходимо нажать кнопку Добавить. После этого станет доступна функция "Проверить связь с сервером". Если настройки корректны, появится сообщение:
Более подробно о настраиваемых параметрах можно узнать во встроенной документации .
Добавление групп
Добавление групп не является обязательным и требуется только если планируется использовать их в условиях политик авторизации.
После добавления источника идентификаций кнопка Добавить смениться на кнопку Далее. Можно нажать её, что бы перейти в раздел Группы или нажать наверху страницы на 2 Группы и добавить группы, которые предполагается использовать в политиках авторизации:
Нажать кнопку Получить данные и выбрать группы, которые требуется добавить. В данном примере добавляем группу Гости домена.
При необходимости найти определенную группу надо в поле Фильтр ввести имя группы. При необходимости можно добавить "*" в начале или конце названия группы, что позволит выполнить поиск по словосочетанию.
После выбора необходимых групп нажать кнопку Сохранить.
Добавление атрибутов объектов
Добавление атрибутов не является обязательным шагом, но может потребоваться в случае настройки доступа по одному из атрибутов объектов. Например, существует возможность выдавать пользователю VLAN или ACL, получая их значение из какого-либо атрибута объекта в MS AD.
С данным блоком настроек можно ознакомиться в общей инструкции по интеграции с Active Directory: v1.2_4.1.1 Настройка интеграции с Active Directory.
Настройка EAP-TLS авторизации
Создание цепочки идентификаций с использованием ранее созданного источника идентификации
Открыть раздел Пользователи и устройства → Управление идентификацией → Цепочки идентификации и нажать кнопку :
Необходимо:
- Задать понятное имя для цепочки, например "ActiveDirectoryChain"
- В блоке "Список источников аутентификации" выбрать созданный ранее источник Active Directory.
- В блоке "Аутентификация по сертификату" отметить чекбокс "Использовать для идентификации атрибут сертификата" и выбрать атрибут "Subject - Common Name"
После создания цепочки идентификации с использованием ранее созданного источника нажать кнопку Добавить.
Настройка списка разрешенных протоколов
Настройка возможности использовать протокол EAP-TLS выполняется в разделе Доступ к сети → Элементы политик → Разрешенные протоколы. В списке разрешенных протоколов по умолчанию Default protocols поддержка протокола уже включена. Если создается новый список доступных протоколов, необходимо включить поддержку EAP-TLS:
Настройка набора политик авторизации/аутентификации
Необходимо перейти в раздел Доступ к сети → Политики RADIUS и нажать иконку добавления нового набора политик:
Заполнить:
Имя - название политики, например EAP-TLS PolicySet- В выпадающем меню Доступные протоколы выбрать созданный ранее список разрешенных протоколов EAP-TLS
Кликнуть Условия, в открывшемся редакторе заполнить:
- Атрибут - Normalised Radius·Authentication Protocol
- Оператор - Равно
- Атрибут/Значение - eap-tls
Далее необходимо подтвердить выбор кнопкой Использовать. После чего откроется предыдущее окно создания набора политик, но с уже заполненным полем Условия.
Затем необходимо кликнуть Сохранить, и перейти к настройке политики значком ">>"
Откроется окно настройки политики:
Здесь необходимо выбрать настроенную ранее цепочку идентификации, а затем в поле Профили авторизации выбрать PermitAccess, далее нажать Сохранить.
В инструкции рассмотрена настройка базового минимального набора политик для работы авторизации, подробнее ознакомиться с настройкой политик можно во встроенной документации v1.2_5. Встроенная документация.
Настройка сетевого подключения на примере клиента Windows 10
Предполагается, что ПК-клиенты уже подключены к домену, а также имеют сертификаты машинной авторизации и сертификат ЦС, добавленные в Сертификаты компьютера.
Для настройки сетевого подключения потребуется перейти Пуск → Параметры → Сеть и Интернет → Ethernet → Настройка параметров адаптера. В открывшемся окне выбрать адаптер, дважды нажать на него левой кнопкой мыши и перейти в окно свойств. Перейти во вкладку Проверка подлинности:
- Выберите метод проверки подлинности в сети - выбрать "Microsoft: смарт-карта или иной сертификат".
- Запоминать мои учетные данные для этого подключения при каждом входе в систему - отключить.
Нажать кнопку Параметры справа от метода проверки подлинности, в открывшемся окне:
- Использовать сертификат на этом компьютере - выбрать;
- Подтверждать удостоверение сервера с помощью проверки сертификата - включить;
- Доверенные корневые центры сертификации - выбрать сертификат ЦС.
Нажать ОK.
На вкладке Проверка подлинности нажать в нижней части на кнопку Дополнительные параметры, в открывшемся окне:
- Указать режим проверки подлинности - включить, выбрать Проверка подлинности компьютера.
Повторно в двух окнах подряд нажать ОК, закрыв вкладку свойств подключения.
После выполнения данных действий подключить компьютер к сети и убедиться в возможности авторизации с использованием сертификата.
Настройка сетевого подключения на примере клиента Windows 11
Предполагается, что ПК-клиенты уже подключены к домену, а также имеют сертификаты машинной авторизации и сертификат ЦС, добавленные в Сертификаты компьютера.
Для настройки сетевого подключения потребуется перейти Пуск → Параметры → Сеть и Интернет → Ethernet, найти настройку Параметры проверки подлинности.
Нажать кнопку Изменить, переключить положение кнопки и нажать на Изменить конфигурацию. Выставить метод EAP - Смарт-карта или другой сертификат (EAP-TLS), нажать кнопку Сохранить.
Далее перейти Пуск → Панель управления → Сеть и Интернет → Центр управления сетями и общим доступом. Найти используемый сетевой адаптер и нажать на гиперссылку. В открывшемся окне, для перехода к настройкам подлинности, нажать на кнопку Свойства и перейти во вкладку Проверка подлинности:
- Выберите метод проверки подлинности в сети - выбрать "Microsoft: смарт-карта или иной сертификат;
- Запоминать мои учетные данные для этого подключения при каждом входе в систему - включить.
Нажать кнопку Параметры справа от метода проверки подлинности, в открывшемся окне:
- Использовать сертификат на этом компьютере - выбрать;
- Подтверждать удостоверение сервера с помощью проверки сертификата - включить;
- Доверенные корневые центры сертификации - выбрать сертификат ЦС.
Нажать ОK.
На вкладке Проверка подлинности нажать в нижней части на кнопку Дополнительные параметры, в открывшемся окне:
- Указать режим проверки подлинности - включить, выбрать Проверка подлинности компьютера.
Повторно в двух окнах подряд нажать ОК, закрыв вкладку свойств подключения.
После выполнения данных действий подключить компьютер к сети и убедиться в возможности авторизации с использованием сертификата.
Проверка успешности подключения
Пример успешной авторизации в разделе Мониторинг → RADIUS → Журнал подключений:
Подробная информация при выборе успешной сессии авторизации:





















