Просмотреть исходный

Описание

Обобщенно компоненты схемы авторизации можно представить так:

Таким образом, настройка в общем случае будет содержать следующие шаги:

Настройка NAS-устройства;
Настройка клиента;
Настройка в NAICE параметров NAS-устройства и клиента, а также политик аутентификации и авторизации, которые позволят пользователю получить или не получить доступ к сети по определенным правилам.

Настройка NAS устройства на примере MES23хх

Настройка аутентификатора заключается в базовой настройке 802.1x авторизации. Рассмотрим команды для настройки на примере MES23xx.

Включить глобально 801.1x:
dot1x system-auth-control

Настроить взаимодействие с NAICE:

radius-server host <IP-адрес NAICE> key <RADIUS secret> usage dot1x

Указать метод проверки подлинности на 801.1x интерфейсах - radius:
aaa authentication dot1x default radius
Настроить порт подключения клиента:
interface <порт клиента> dot1x port-control auto

Базовая настройка NAICE

Далее описана последовательность действий, которая позволяет настроить авторизацию пользователя из внутренней БД по политике, основанной на IP-адресе NAS-устройства.

Пример направлен на получение базовых навыков работы с системой и не затрагивает некоторый функционал, доступный для настройки и не являющийся минимально необходимым.

1. Добавление пользователя

Для прохождения процесса аутентификации клиенту требуется указать учетные данные пользователя. Предварительно этот пользователь должен быть добавлен в NAICE. Доступно создание пользователя в самой системе, а также интеграция с внешними источниками идентификации по протоколу LDAP, такими как MS Active Directory или OpenLDAP. Ниже рассмотрено создание внутреннего пользователя.

Добавление пользователя доступно в разделе Администрирование → Управление идентификацией на странице Пользователи сети.

Для добавления пользователя необходимо нажать в левой части поля над таблицей со списком пользователей сети, откроется следующая страница:

Eltex Documentation > v1.0_4. Быстрый запуск (Quickstart) > 01_add_user.png

Минимально необходимые для заполнения параметры:

Статус = Включено. Имеется возможность временно выключить пользователя, что позволит запретить ему аутентификацию без удаления учетной записи;
Логин - логин пользователя, с которым клиент будет проходить аутентификацию;
Пароль и Подтверждение пароля - пароль пользователя, с которым клиент будет проходить аутентификацию.

Добавление пользователя в группы не является обязательным. Однако группировка пользователей может позволить упростить их администрирование, и в будущем по параметрам группы можно настроить правила политик аутентификации и авторизации.

Более подробно про пользователей, группы пользователей и работу с ними можно узнать с помощью встроенной документации, нажав снизу слева кнопку .

2. Создание профиля сетевого устройства

Профиль сетевого устройства позволяет настроить параметры, общие для нескольких NAS-устройств, и затем при их настройке указывать данный профиль для применения настроенных параметров. В общем случае профиль имеет смысл создавать для устройств одного производителя или одной модели устройств, однако это не строгое правило. Несколько профилей уже предустановлены в системе.

Создание профиля сетевого устройства доступно в разделе Администрирование → Сетевые ресурсы на странице Профили устройств.

Для добавления профиля необходимо нажать в левой части поля над таблицей со списком профилей, откроется следующая страница:

Eltex Documentation > v1.0_4. Быстрый запуск (Quickstart) > 02_add_device_profile.png

Минимально необходимые для заполнения параметры:

Имя - имя профиля;
Производитель - производитель сетевого устройства. Данное поле является информационным и не влияет на работу функционала.
Поддерживаемые протоколы - включить поддержку протокола RADIUS (по умолчанию включено).

Условия определения типа подключения позволяют по настроенным RADIUS-атрибутам определять, каким образом подключается пользователь. Тип подключения можно использовать в наборах политик в качестве условия. Если данные настройки не указаны, то тип подключения не будет определен, но авторизация будет возможна. Так как предполагается настройка в качестве условия подключения NAS IP аутентификатора, то в данном случае настройка не обязательна.

Блок настроек MAB позволяет включить возможность аутентификации на данном устройстве по MAC-адресу, а также указывать особенности MAB на данном типе устройств.

Разрешения позволяют для устройств с данным профилем разрешить или запретить настройку типичных сценариев авторизации ("общие задачи") - настройку VLAN и ACL в профиле авторизации, а также настроить, какие именно RADIUS-атрибуты отвечают за выдачу VLAN и ACL для устройств с данным профилем (могут быть специфичны для различных производителей). Так как выдача VLAN и ACL в данном примере не предполагается, то настройка не обязательна.

Настройки RADIUS CoA позволяют для устройств с данным профилем настроить параметры выполнения CoA запросов. Данная настройка требуется только в схеме портальной авторизации и в данном примере не обязательна.

Настройки перенаправления на портал позволяют для устройств с данным профилем настроить параметры атрибутов для портальной авторизации. Данная настройка требуется только в схеме портальной авторизации и в данном примере не обязательна.

По умолчанию создан профиль сетевого устройства "Eltex MES23", который адаптирован под коммутаторы Eltex. При желании в дальнейшей настройке можно использовать данный профиль.

Более подробно про работу с профилями сетевых устройств можно узнать с помощью встроенной документации, нажав вверху снизу слева .

3. Добавление сетевого устройства

На данном шаге нужно описать NAS-устройство и параметры взаимодействия с ним.

Создание сетевого устройства доступно в разделе Администрирование → Сетевые ресурсы на странице Устройства.

Для добавления устройства необходимо нажать в левой части поля над таблицей со списком устройств, откроется следующая страница:

Eltex Documentation > v1.0_4. Быстрый запуск (Quickstart) > 03_add_device.png

Минимально необходимые для заполнения параметры:

Имя - имя устройства;
Профиль - выбор ранее созданного или существующего профиля сетевого устройства;
IPv4 - IPv4-адрес устройства. Именно он будет использоваться в качестве NAS-IP-Address в наборах политик;
Секретный ключ (RADIUS secret) - ключ для взаимодействия с сетевым устройством по протоколу RADIUS. Должен совпадать с ключом, настроенным на самом устройстве.

Добавление устройства в группы не является обязательным. Однако распределение устройств по группам позволит упростить их администрирование, а также добавит возможность настроить правила политик аутентификации и авторизации на основе принадлежности устройства к группе.

Более подробно про настройку сетевых устройств можно узнать с помощью встроенной документации, нажав вверху снизу слева .

4. Создание логического условия с NAS-IP-Address

Логические условия позволяют задать условия, при которых политику или правило политики необходимо применять.

В качестве примера составим простое условие - RADIUS-атрибут NAS-IP-Address словаря RADIUS равен IPv4-адресу NAS-устройства.

Создание логического условия с последующим его сохранением в библиотеку условий доступно в разделе Политика → Элементы на странице Условия.

Eltex Documentation > v1.0_4. Быстрый запуск (Quickstart) > 04_conditions_page.png

В редакторе условия в поле Атрибут необходимо нажать на и в окне выбора атрибута найти RADIUS-атрибут NAS-IP-Address:

Eltex Documentation > v1.0_4. Быстрый запуск (Quickstart) > 05_conditions_radius_nas_ip_address.png

Настроить оператор Равно и в поле значения вписать IPv4-адрес NAS-устройства.

Eltex Documentation > v1.0_4. Быстрый запуск (Quickstart) > 06_conditions_operator_ip_v4.png

Сохранить условие как новое условие в библиотеку и указать для него Имя. Убедиться, что условие появилось в списке в колонке Библиотека.

Логическое условие можно также создавать прямо во время создания политик.

Eltex Documentation > v1.0_4. Быстрый запуск (Quickstart) > 07_saved_condition_full_page.png

Более подробно про настройку логических условий можно узнать с помощью встроенной документации, нажав вверху снизу слева .

5. Указание доступных для аутентификации протоколов

Аутентификация клиента может проходить по различным протоколам аутентификации, предполагающие разный уровень безопасности при обмене RADIUS-пакетами. Может потребоваться запрет аутентификации по менее безопасным протоколам или же разрешение аутентификации по более простым протоколам, так как клиент поддерживает только их. За это отвечают службы разрешенных протоколов.

Создание службы разрешенных протоколов доступно в разделе Политики доступа → Элементы на странице Разрешенные протоколы.

Для добавления службы необходимо нажать в левой части поля над таблицей со списком служб, откроется следующая страница:

Eltex Documentation > v1.0_4. Быстрый запуск (Quickstart) > 08_allowed_protocols.png

Минимально необходимые для заполнения параметры:

Имя - название службы разрешенных протоколов;
Доступные протоколы - выбор протоколов, по которым необходимо разрешить аутентификацию.

Если суппликант - компьютер с ОС Windows, то скорее всего предпочитаемый протокол аутентификации будет EAP-PEAP (а именно EAP-PEAP-MSCHAPv2). В связи с этим в данном случае стоит выбрать доступный протокол EAP-PEAP.

Более подробно про настройку доступных протоколов можно узнать с помощью встроенной документации, нажав снизу слева кнопку .

6. Создание профиля авторизации

После прохождения аутентификации должна пройти авторизация клиента. В зависимости от условий можно настроить различные результаты (профили) авторизации, которые потом использовать в политике авторизации. Например, можно выдать успешно прошедшему аутентификацию клиенту определенные VLAN и ACL. Так как выдача VLAN и ACL завязана на различные RADIUS-атрибуты для различных устройств, то профиль авторизации привязан к профилю устройства-аутентификатора.

Создание службы доступных протоколов доступно в разделе Политики → Элементы → Профили авторизации.

Для добавления профиля необходимо нажать в левой части поля над таблицей со списком профилей, откроется следующая страница:

Eltex Documentation > v1.0_4. Быстрый запуск (Quickstart) > 09_auth_profiles_form_open.png

Минимально необходимые для заполнения параметры:

Имя - название профиля авторизации;
Профиль устройства - профиль устройства, для которого должен применяться профиль авторизации. От данной настройки зависит возможность настройки общих задач и то, какие именно атрибуты в них будут использоваться;
Тип доступа - для какого результата аутентификации (ACCESS_ACCEPT или ACCESS_REJECT) применять данный профиль авторизации.

Общие задачи VLAN и ACL позволяют выдать клиенту соответствующие параметры. Так же в данном блоке выбирается портал и и указывается имя ACL для портальной авторизации. Так как выдача VLAN, ACL или взаимодействие с порталом в данном сценарии не предполагается, то настройка не требуется.

Расширенные настройки атрибутов позволяют гибко настроить, какой атрибут и с каким значением поместить в RADIUS-ответ.

Более подробно про настройку профилей авторизации можно узнать с помощью встроенной документации, нажав снизу слева кнопку .

7. Создание набора политик аутентификации и авторизации

Набор политик аутентификации и авторизации позволяет настроить различную обработку RADIUS-запросов от суппликантов в зависимости от указанных условий, и определять различные результаты аутентификации и авторизации.

Настроим простой набор политик с условием применения NAS-IP-Address = NAS IP устройства.

Создание службы доступных протоколов доступно в разделе Политика → Наборы политик.

Для добавления нового набора политик необходимо нажать в крайней левой колонке таблицы со списком, в начало списка добавится новый набор:

Eltex Documentation > v1.0_4. Быстрый запуск (Quickstart) > 10_policy_sets_container.png

Заполнить следующие параметры:

Имя - имя набора политик;
Условия - выбор ранее созданного логического условия. Для этого необходимо нажать , в появившемся окне найти в Библиотеке ранее созданное условие и перетащить его в область Редактора. Нажать на кнопку Использовать.
Доступные протоколы - выбор ранее созданной службы доступных протоколов.

Нажать Сохранить в правом нижнем углу страницы. Это действие сохраняет весь список набора политик.

Eltex Documentation > v1.0_4. Быстрый запуск (Quickstart) > 11_saved_settings_policy_sets.png

После этого необходимо перейти в редактирование конкретной политики через :

Eltex Documentation > v1.0_4. Быстрый запуск (Quickstart) > 12_policy_set_edit_page.png

Новое правило для политики аутентификации добавляется через :

Статус - для проверки запросов по этому правилу;
Имя - имя правила;
Условия - настройка условия, при котором следует разделять цепочки идентификаций, в которых необходимо искать пользователей;
Цепочки идентификации - настройка списка источников пользователей.

По умолчанию имеется правило Default, которое определяет поведение при несовпадении условий вышестоящих правил. Параметры правила Default также можно переопределять, однако его нельзя удалить или переместить выше других правил.

Для простоты оставим только дефолтное правило, содержащее цепочку Default sequence. Данная цепочка идентификации содержит только один источник учетных данных пользователей - локальная база данных, куда и был сохранен пользователь на первом шаге инструкции.

Новое правило для политики авторизации через :

Статус - для проверки запросов по этому правилу;
Имя - имя правила;
Условия - настройка условия, при котором следует разделять профили авторизации, назначаемые пользователям;
Профили - выбор ранее добавленных профилей авторизации, доступен множественный выбор.

Аналогично имеется правило Default, определяющее поведение по умолчанию - отказ в авторизации. Переопределите в нем профиль на Permit-Access - универсальный профиль для предоставления доступа без дополнительных атрибутов.

Нажать Сохранить в правом нижнем углу страницы.

Eltex Documentation > v1.0_4. Быстрый запуск (Quickstart) > 13_policy_set_edit_page_after_save.png

Более подробно про настройку политик можно узнать с помощью встроенной документации, нажав снизу слева кнопку .

Настройка клиентского подключения

Более подробно описано в разделе: v1.0_8.1 Настройка подключения проводного (wired) клиента

При подключении проводной клиент как правило требует, чтобы возможность использовать авторизацию 802.1x была включена в настройках его сетевого подключения. Без этого он не попытается пройти авторизацию!

Windows 10

Для настройки клиентского подключения на Windows 10 необходимо:

1. Нажать правой кнопкой мыши внизу справа в баре на подключение и выбрать "Open Network & Internet settings".

Eltex Documentation > v1.0_4. Быстрый запуск (Quickstart) > image2023-9-7_18-7-29.png

2. В открывшемся окне перейти в настройки Ethernet и нажать справа Change adapter options.

3. Нажать правой кнопкой мыши на сетевой интерфейс, через который происходит подключение к коммутатору, и выбрать Properties.

4. В открывшемся окне перейти во вкладку Authentication, и включить:

Enable IEEE 802.1x authentication;
Choose a network authentication method: Microsoft: Protected EAP (PEAP);
Remember my credentials for this connection each time I'm logged on;
Fallback to unauthorized network access.

5. Нажать кнопку Additional Settings.

6. В открывшемся окне выбрать Specify authentication mode: User authentication и нажать Replace credentials.

7. Ввести имя пользователя / пароль и нажать OK:

Eltex Documentation > v1.0_4. Быстрый запуск (Quickstart) > image2023-9-7_18-23-56.png

Ubuntu 20

В качестве приложения для управления сетевыми соединениями рекомендуется использовать NetworkManager.

Для настройки клиентского подключения на Ubuntu 20 необходимо:

1. Нажать на значок сетевого соединения и выбрать Edit connections:

Eltex Documentation > v1.0_4. Быстрый запуск (Quickstart) > image2024-1-31_16-50-0.png

2. Выбирать нужное сетевое подключение и нажать внизу на шестеренку.

3. В открывшемся окне выбрать вкладку 802.1X security:

4. В поле Authentication выбрать Protected EAP (PEAP):

Eltex Documentation > v1.0_4. Быстрый запуск (Quickstart) > image2024-1-31_16-50-50.png

Authentication: Protected EAP (PEAP);
CA certificate: выбрать сертификат CA, которым подписан сертификат RADIUS-сервера (надо предварительно загрузить на клиента). Если нет необходимости проверять сертификат сервера, включить настройку No CA certificate is required;
PEAP version: Automatic;
Inner authentication: MSCHAPv2;
Username: имя пользователя;
Password: пароль пользователя.

5. Нажимать кнопку Save.

Как правило полученные настройки могут не примениться сразу - потребуется отключить / включить интерфейс.

Также NetworkManager может вообще не управлять сетевыми подключениями (вместо него это может делать, например, netplan), и в этом случае потребуется переключить управление.

Может потребоваться перезагрузка компьютера после изменения настроек.

Проверка успешности подключения

После настройки клиентского подключения и попытки авторизации результат авторизации можно увидеть в разделе Мониторинг → RADIUS → Пользовательские сессии.

Данный раздел позволяет просматривать подключения пользователей за определенный период времени, производить фильтрацию для поиска необходимых записей и просматривать детальную информацию об определенной сессии. В случае не успешной авторизации информация о сессии может позволить понять причину ошибки и скорректировать настройки.

Сессии могут появляться не сразу, а только через некоторое время после авторизации клиента из-за механизма записи сессий в БД. Это время регулируется с помощью переменной окружения OVIS_SESSION_FLUSH_SEC и по умолчанию составляет 10 секунд.

Eltex Documentation > v1.0_4. Быстрый запуск (Quickstart) > 14_radius_sessions_page.png

Более подробно про работу с мониторингом можно узнать с помощью встроенной документации, нажав снизу слева кнопку .