Описание 

В данной инструкции описано, как выполнить настройку аутентификации по протоколу EAP-TLS с использованием "машинного" сертификата компьютера, подключенного к домену MS Active Directory.

В рамках инструкции описывается:

1) Добавление в NAICE сертификатов, необходимых для работы EAP-TLS.

2) Настройка подключения к MS AD, а также добавление MS AD в качестве внешнего источника пользовательских учетных данных.

3) Настройка необходимых для EAP-TLS авторизации сущностей, с учетом требуемых для использования машинных сертификатов изменений.

4) Настройка сетевого подключения ПК-клиента на примере ОС Windows 10.

Требования и ограничения

Общие требования

Требования к RADIUS-сертификатам, OCSP-серверу и ограничения реализации указаны в статье v1.2_3.14 Обновление/замена сертификатов RADIUS для EAP-PEAP/TLS в разделе "Требования и ограничения".

Требования к Active Directory

Требования и ограничения при взаимодействии с источником Active Directory можно просмотреть во встроенной документации. Для этого необходимо на странице Пользователи и устройства → Управление идентификацией → Внешние источники идентификации нажать в меню слева внизу на кнопку : страница со встроенной документации откроется в отдельном разделе.


Подробно весь процесс настройки EAP-TLS авторизации, а также описание процесса создания сертификатов описаны в основной инструкции: v1.2_4.6 Настройка EAP-TLS аутентификации. Пожалуйста, ознакомьтесь с ней перед выполнением следующих шагов.


Установка сертификатов

Установка сертификатов описана в статье v1.2_3.14 Обновление/замена сертификатов RADIUS для EAP-PEAP/TLS. Данная настройка обязательна в части настройки EAP-TLS сертификатов!

Настройка NAICE 

Добавление сетевого устройства

Необходимо:

  1. Настроить профиль для сетевого устройства либо выбрать один из профилей доступных по умолчанию.
  2. Добавить сетевое устройство в NAICE и назначить ему профиль.

В инструкции будет использоваться встроенный профиль "Eltex-MES". Для настройки своего профиля можно воспользоваться встроенной документацией: v1.2_5. Встроенная документация.

Для работы авторизации 802.1x необходимо соответствующим образом сконфигурировать порты сетевого коммутатора, для этого необходимо обратиться к инструкции производителя.

Для настройки сетевого устройства в NAICE необходимо открыть раздел Пользователи и устройства → Сетевые ресурсы → Устройства и нажать (слева над таблицей). Откроется окно добавления сетевого устройства:

Заполните следующие поля:

  • Имя - задать произвольное имя устройства.
  • Профиль - необходимо выбрать профиль устройства с поддержкой RADIUS настроенный ранее, либо выбрать один из доступных по умолчанию.
  • IPv4 - IP-адрес коммутатора.
  • Настройки аутентификации RADIUS - пароль, с которым устройство пройдет аутентификацию как RADIUS-client

Нажать Сохранить после заполнения настроек.

Настройка подключения к MS AD

Подробно весь процесс настройки подключения к Active Directory описан в статье v1.2_4.1.1 Настройка интеграции с Active Directory, но в текущей инструкции потребуются лишь некоторые шаги, рассмотренные ниже.

Создание источника идентификации

Для работы "машинной" авторизации при интеграции с MS AD нельзя использовать в настройке внешнего источника идентификации схему "ACTIVE_DIRECTORY"!

В этом случае используется схема "CUSTOM"!

Открыть раздел Пользователи и устройства → Управление идентификацией → Внешние источники идентификации и нажать . Откроется окно добавления внешнего источника идентификаций:

Настройка структурно разделена на блоки.

  • Имя - произвольное наименование источника идентификаций.
  • Описание - произвольное описание источника идентификаций.
  • Включить LDAPS (опционально)- использовать защищённое соединение с LDAP-сервером по протоколу LDAPS (LDAP over SSL/TLS)
  • Доверять неизвестным источникам (доступно только при включении опции "Включить LDAPS") - разрешить системе NAICE принимать и использовать сертификаты, выданные неизвестными центрами сертификации (CA).

Для корректной и безопасной работы LDAPS необходимо добавить в систему сертификаты источника идентификации. Подробнее см. раздел «Доверенные сертификаты» во встроенной документации NAICE. 

Блок "Схема"

  • Схема - CUSTOM.
  • В поле Subject Object Class внести значение computer
  • В поле Subject name attribute внести значение cn
  • В поле Group name attribute внести значение cn
  • В поле Group object class внести значение group
  • В поле Group map attribute внести значение memberOf
  • В поле Subject in group attribute внести значение DISTINGUISHED_NAME

Блок "Подключение"

  • Admin dn - имя пользователя, который будет использоваться для обращения в Active Directory. Пользователь должен быть предварительно добавлен администратором в Active Directory. Имя пользователя можно задавать в форматах:
  • Admin password - пароль пользователя.
  • Имя хоста - полное имя домена, в котором будет выполняться аутентификация пользователей, например test.loc. Так же можно указать предпочтительный контроллер домена, который будет использоваться для обращений, например srv1.test.loc.
  • Port - порт подключения к контроллеру домена по протоколу LDAP. Как правило, используется порт 389. При включении опции «Включить LDAPS» в процессе создания источника порт автоматически изменится на 636, так как он используется протоколом LDAPS. Если значение порта было задано вручную ранее, автоматическая замена выполнена не будет. 

Блок "Структура каталога"

  • Subject search base - строка поиска атрибутов объектов (в данном случае - компьютеров) в Active Directory по протоколу LDAP, например dc=test,dc=loc.
  • Group search base - строка поиска групп в Active Directory по протоколу LDAP, например dc=test,dc=loc.

При необходимости ограничить поиск определенными подразделениями можно указать их в строке поиска, например: ou=naice,dc=example,dc=org . Если подразделения является вложенным для другого подразделения необходимо перечислить их все до корня домена, начиная с требуемого подразделения, например: ou=test,ou=naice,dc=example,dc=org .

После заполнения настроек необходимо нажать кнопку Добавить. После этого станет доступна функция "Проверить связь с сервером". Если настройки корректны, появится сообщение:

Более подробно о настраиваемых параметрах можно узнать во встроенной документации .

Добавление групп

Добавление групп не является обязательным и требуется только если планируется использовать их в условиях политик авторизации.

После добавления источника идентификаций кнопка Добавить смениться на кнопку Далее. Можно нажать её, что бы перейти в раздел Группы или нажать наверху страницы на 2 Группы и добавить группы, которые предполагается использовать в политиках авторизации:

Нажать кнопку Получить данные и выбрать группы, которые требуется добавить. В данном примере добавляем группу Гости домена.

При необходимости найти определенную группу надо в поле Фильтр ввести имя группы. При необходимости можно добавить "*" в начале или конце названия группы, что позволит выполнить поиск по словосочетанию.


После выбора необходимых групп нажать кнопку Сохранить.

Добавление атрибутов объектов

Добавление атрибутов не является обязательным шагом, но может потребоваться в случае настройки доступа по одному из атрибутов объектов. Например, существует возможность выдавать пользователю VLAN или ACL, получая их значение из какого-либо атрибута объекта в MS AD.

С данным блоком настроек можно ознакомиться в общей инструкции по интеграции с Active Directory: v1.2_4.1.1 Настройка интеграции с Active Directory.

Настройка EAP-TLS авторизации

Создание цепочки идентификаций с использованием ранее созданного источника идентификации

Открыть раздел Пользователи и устройства → Управление идентификацией → Цепочки идентификации и нажать кнопку :

Необходимо:

  • Задать понятное имя для цепочки, например "ActiveDirectoryChain"
  • В блоке "Список источников аутентификации" выбрать созданный ранее источник Active Directory
  • В блоке "Аутентификация по сертификату" отметить чекбокс "Использовать для идентификации атрибут сертификата" и выбрать атрибут "Subject - Common Name"


Атрибут "Subject - Common Name" указан в качестве примера. Это не единственный атрибут, который можно использовать в рамках авторизации. Главное требование к атрибуту - однозначное соответствие значения единственному объекту в домене.

        Issuer: C=RU, L=Moscow, OU=adm.test.loc, CN=Administration, emailAddress=adm@test.loc
        Validity
            Not Before: Jun 23 11:13:30 2025 GMT
            Not After : Jun 23 11:13:30 2027 GMT
        Subject: C=RU, tester@test.loc  <--------- Уникальный атрибут сертификата, определяющий принадлежность к ПК
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)


В качестве альтернативы, например, можно использовать атрибут Subject Alternative Name - DNS (если он есть в сертификате). В таком случае в настройке схемы внешнего источника необходимо поменять значение Subject name attribute на dNSHostName.

После создания цепочки идентификации с использованием ранее созданного источника нажать кнопку Добавить.

Настройка списка разрешенных протоколов

Настройка возможности использовать протокол EAP-TLS выполняется в разделе Доступ к сети → Элементы политик → Разрешенные протоколы. В списке разрешенных протоколов по умолчанию Default protocols поддержка протокола уже включена. Если создается новый список доступных протоколов, необходимо включить поддержку EAP-TLS:

Настройка набора политик авторизации/аутентификации

Необходимо перейти в раздел Доступ к сети → Политики RADIUS и нажать иконку добавления нового набора политик:

Заполнить:

  • Имя - название политики, например EAP-TLS PolicySet
  • В выпадающем меню Доступные протоколы выбрать созданный ранее список разрешенных протоколов EAP-TLS

Кликнуть Условия, в открывшемся редакторе заполнить:


  • Атрибут - Normalised Radius·Authentication Protocol
  • Оператор - Равно
  • Атрибут/Значение - eap-tls

Далее необходимо подтвердить выбор кнопкой Использовать. После чего откроется предыдущее окно создания набора политик, но с уже заполненным полем Условия.

Затем необходимо кликнуть Сохранить, и перейти к настройке политики значком ">>"


Откроется окно настройки политики:


Здесь необходимо выбрать настроенную ранее цепочку идентификации, а затем в поле Профили авторизации выбрать PermitAccess, далее нажать Сохранить.

В инструкции рассмотрена настройка базового минимального набора политик для работы авторизации, подробнее ознакомиться с настройкой политик можно во встроенной документации v1.2_5. Встроенная документация.

Настройка сетевого подключения на примере клиента Windows 10

Предполагается, что ПК-клиенты уже подключены к домену, а также имеют сертификаты машинной авторизации и сертификат ЦС, добавленные в Сертификаты компьютера.

Для настройки сетевого подключения потребуется перейти Пуск → Параметры → Сеть и Интернет → Ethernet → Настройка параметров адаптера. В открывшемся окне выбрать адаптер, дважды нажать на него левой кнопкой мыши и перейти в окно свойств. Перейти во вкладку Проверка подлинности:

  • Выберите метод проверки подлинности в сети - выбрать "Microsoft: смарт-карта или иной сертификат".
  • Запоминать мои учетные данные для этого подключения при каждом входе в систему - отключить.

Нажать кнопку Параметры справа от метода проверки подлинности, в открывшемся окне:

  • Использовать сертификат на этом компьютере - выбрать;
  • Подтверждать удостоверение сервера с помощью проверки сертификата - включить;
  • Доверенные корневые центры сертификации - выбрать сертификат ЦС.

Нажать ОK.

На вкладке Проверка подлинности нажать в нижней части на кнопку Дополнительные параметры, в открывшемся окне:

  • Указать режим проверки подлинности - включить, выбрать Проверка подлинности компьютера.

Повторно в двух окнах подряд нажать ОК, закрыв вкладку свойств подключения.

После выполнения данных действий подключить компьютер к сети и убедиться в возможности авторизации с использованием сертификата.

Настройка сетевого подключения на примере клиента Windows 11

Предполагается, что ПК-клиенты уже подключены к домену, а также имеют сертификаты машинной авторизации и сертификат ЦС, добавленные в Сертификаты компьютера.

Для настройки сетевого подключения потребуется перейти Пуск → Параметры → Сеть и Интернет → Ethernet, найти настройку Параметры проверки подлинности.

Нажать кнопку Изменить, переключить положение кнопки и нажать на Изменить конфигурацию. Выставить метод EAP - Смарт-карта или другой сертификат (EAP-TLS), нажать кнопку Сохранить.

 

Далее перейти Пуск → Панель управления → Сеть и Интернет → Центр управления сетями и общим доступом. Найти используемый сетевой адаптер и нажать на гиперссылку.  В открывшемся окне, для перехода к настройкам подлинности, нажать на кнопку Свойства и перейти во вкладку Проверка подлинности:

  • Выберите метод проверки подлинности в сети - выбрать "Microsoft: смарт-карта или иной сертификат;
  • Запоминать мои учетные данные для этого подключения при каждом входе в систему - включить.

Нажать кнопку Параметры справа от метода проверки подлинности, в открывшемся окне:

  • Использовать сертификат на этом компьютере - выбрать;
  • Подтверждать удостоверение сервера с помощью проверки сертификата - включить;
  • Доверенные корневые центры сертификации - выбрать сертификат ЦС.

Нажать ОK.

На вкладке Проверка подлинности нажать в нижней части на кнопку Дополнительные параметры, в открывшемся окне:

  • Указать режим проверки подлинности - включить, выбрать Проверка подлинности компьютера.

Повторно в двух окнах подряд нажать ОК, закрыв вкладку свойств подключения.

После выполнения данных действий подключить компьютер к сети и убедиться в возможности авторизации с использованием сертификата.


Проверка успешности подключения

Пример успешной авторизации в разделе Мониторинг →  RADIUS → Журнал подключений:

Подробная информация при выборе успешной сессии авторизации:

  • Нет меток