Для успешного взаимодействия сетевых устройств с NAICE по протоколу RADIUS требуется настроить сетевое устройство и внести его данные в настройки Администрирование → Сетевые ресурсы → Устройства. Ошибки в настройках приводят к тому, что сессия с попыткой подключения клиентского устройства не отображается в разделе Мониторинг → RADIUS → пользовательские сессии. Это может происходить по следующим причинам:
Для анализа поведения во всех случаях потребуется проанализировать логи сервиса naice-radius.
Для получения логов требуется зайти на сервер, перейти в папку установки NAICE (по умолчанию это /etc/docker-naice):
cd /etc/docker-naice/ |
Выполнить команду в папке установки:
sudo docker compose logs naice-radius |
Пример вывода логов:
tester@ubuntu:/etc/docker-naice$ sudo docker compose logs naice-radius WARN[0000] /etc/docker-naice/docker-compose.yml: the attribute `version` is obsolete, it will be ignored, please remove it to avoid potential confusion naice-radius | Getting debug state failed: ptrace capability not set. If debugger detection is required run as root or: setcap cap_sys_ptrace+ep <path_to_radiusd> naice-radius | Sat Mar 22 14:23:46 2025 : Info: Ready to process requests |
Для удобства просмотра логов в реальном времени времени можно использовать ключ "-f":
|
Если в логах нет информации о пытках отправки RADIUS пакетов со стороны сетевого устройства это может быть вызвано:
dot1x глобально и на порту пользователя, корректность указания radius-server host и доступность адреса сервера NAICE по маршрутизации.В логах есть информация о попытках подключения со стороны сетевого устройства вида:
naice-radius | Sat Mar 22 14:45:46 2025 : Error: Ignoring request to auth address * port 1812 bound to server default from unknown client 100.123.0.10 port 49206 proto udp |
Причины, которые могут вызвать данное поведение:
В логах есть информация о попытках подключения со стороны сетевого устройства вида:
naice-radius | Sat Mar 22 14:53:12 2025 : Info: Dropping packet without response because of error: Received packet from 100.123.0.10 with invalid Message-Authenticator! (Shared secret is incorrect.) (from client коммутатор 1) |
Ошибка в логах подключения сетевого устройства "Shared secret is incorrect." означает, что указан разный ключ RADIUS на сетевом устройстве и в настройках сетевого устройства в NAICE. Требуется определить где он указан неправильно и исправить его. Далее возможны два варианта:
Секретный ключ и Сохранить настройку.Если настройка секретного ключа была изменена в NAICE после того как от сетевого устройства были получены RADIUS запросы требуется выполнить перезапуск сервиса naice-radius! Для этого надо зайти в папку установки NAICE:
Выполнить в папке команду:
Данное действие необходимо, т.к. данные по конфигурации взаимодействия с сетевым устройством кэшируются на один час после его первого обращения! |
Если после исправления конфигурации/настроек в логах появилась информация вида:
naice-radius | Sat Mar 22 15:06:10 2025 : Info: Adding client 100.123.0.10/32 naice-radius | Sat Mar 22 15:06:12 2025 : Auth: (19) Login OK: [ivan.ivanov@test.loc/<via Auth-Type = eap>] (from client коммутатор 1 port 50 cli 7C-C2-C6-4B-0D-C9 via TLS tunnel) naice-radius | Sat Mar 22 15:06:12 2025 : Auth: (20) Login OK: [ivan.ivanov@test.loc/<via Auth-Type = eap>] (from client коммутатор 1 port 50 cli 7C-C2-C6-4B-0D-C9) naice-radius | Sat Mar 22 15:08:11 2025 : Auth: (48) Invalid user: [ivan/<via Auth-Type = eap>] (from client коммутатор 1 port 50 cli 7C-C2-C6-4B-0D-C9) naice-radius | Sat Mar 22 15:08:11 2025 : Auth: (48) Login incorrect: [ivan/<via Auth-Type = eap>] (from client коммутатор 1 port 50 cli 7C-C2-C6-4B-0D-C9) |
Это свидетельствует о том, что успешный обмен RADIUS-пакетами между NAICE и сетевым устройством возможен и данные о попытках подключения пользовательских устройств должны появиться в разделе Мониторинг → RADIUS → пользовательские сессии.