В данной инструкции описано, как выполнить настройку аутентификации по протоколу EAP-TLS с использованием "машинного" сертификата компьютера, подключенного к домену MS Active Directory.
В рамках инструкции описывается:
1) Добавление в NAICE сертификатов, необходимых для работы EAP-TLS.
2) Настройка подключения к MS AD, а также добавление MS AD в качестве внешнего источника пользовательских учетных данных.
3) Настройка необходимых для EAP-TLS авторизации сущностей, с учетом требуемых для использования машинных сертификатов изменений.
4) Настройка сетевого подключения ПК-клиента на примере ОС Windows 10.
| Подробно весь процесс настройки EAP-TLS авторизации, а также описание процесса создания сертификатов описаны в основной инструкции: v1.1_4.6 Настройка EAP-TLS аутентификации. Пожалуйста, ознакомьтесь с ней перед выполнением следующих шагов. |
Требования и ограничения при взаимодействии с источником Active Directory можно просмотреть во встроенной документации. Для этого необходимо на странице Пользователи и устройства → Управление идентификацией → Внешние источники идентификации нажать в меню слева внизу на кнопку 
: страница со встроенной документации откроется в отдельном разделе.
Установка сертификатов выполняется плейбуком Ansible. Для корректной работы требуется файлы сертификата расположить на хосте, с которого будет выполняться плейбук Ansible в папке ansible/roles/docker/files/eap-tls.
Требуется три файла:
Далее приведен пример с расположением файлов в на хосте выполнения плейбуков Ansible:
|
Файлы могут иметь произвольное наименование.
После расположения файлов на хосте, требуется в файле "group_vars/all.yml" указать значения переменных:
# параметры для авторизации по протоколу EAP-TLS # параметры сертификатов # для включения установки сертификатов протокола EAP-TLS необходимо расположить файлы сертификатов сервера в папке ansible/roles/docker/files/eap-tls radius_eap_tls_cert_dir_copy: true # включить копирование сертификатов из директории ansible/roles/docker/files/eap-tls radius_eap_tls_certs_ca_cert_file: trusted_server.crt # имя файла корневого (CA) сертификата radius_eap_tls_certs_private_key_file: trusted_server.k # имя файла приватного ключа сертификата сервера radius_eap_tls_certs_private_key_password: # пароль к файлу приватного ключа сертификата сервера, оставьте пустым, если файл приватного ключа не запаролен radius_eap_tls_certs_certificate_file: trusted_server_chain.crt # имя файла серверного сертификата |
Указать при необходимости параметры взаимодействия с OCSP-сервером (опционально):
# настройки проверки статуса отозванных сертификатов по протоколу OCSP radius_eap_tls_ocsp_enable: 'false' # Включение проверки статуса отзыва сертификата по протоколу OCSP radius_eap_tls_ocsp_override_url: 'false' # Использовать URL сервиса OCSP из сертификата radius_eap_tls_ocsp_url: 'http://127.0.0.1/ocsp' # URL для обращения к сервису OCSP radius_eap_tls_ocsp_softfail: 'false' # Мягкая проверка доступа к серверу проверки OSCP, если сервер недоступен, процесс не завершится, а продолжится radius_eap_tls_ocsp_timeout: 0 # Таймаут обращения к серверу OSCP radius_eap_tls_ocsp_use_nonce: 'true' # Позволяет включить одноразовый код в запрос - nonce, который может быть включен в соответствующий ответ |
Работа с OCSP-сервером поддержана только по протоколу HTTP с реализацией MS Windows Server! |
С описанием каждого параметра можно ознакомиться в основной инструкции v1.1_4.6 Настройка EAP-TLS аутентификации. |
Необходимо:
В инструкции будет использоваться встроенный профиль "Eltex-MES". Для настройки своего профиля можно воспользоваться встроенной документацией: v1.1_5. Встроенная документация. |
Для работы авторизации 802.1x необходимо соответствующим образом сконфигурировать порты сетевого коммутатора, для этого необходимо обратиться к инструкции производителя. |
Для настройки сетевого устройства в NAICE необходимо открыть раздел Пользователи и устройства → Сетевые ресурсы → Устройства и нажать 
(слева в верхней части страницы). Откроется окно добавления сетевого устройства:
Заполните следующие поля:
Нажать Сохранить после заполнения настроек.
Подробно весь процесс настройки подключения к Active Directory описан в статье v1.1_4.1.1 Настройка интеграции с Active Directory, но в текущей инструкции потребуются лишь некоторые шаги, рассмотренные ниже.
Для работы "машинной" авторизации при интеграции с MS AD нельзя использовать в настройке внешнего источника идентификации схему "ACTIVE_DIRECTORY"! В этом случае используется схема "CUSTOM"! |
Открыть раздел Пользователи и устройства → Управление идентификацией → Внешние источники идентификации и нажать . Откроется окно добавления внешнего источника идентификаций:
Настройка структурно разделена на блоки.
Имя - произвольное наименование источника идентификаций.
Для корректной и безопасной работы LDAPS необходимо добавить в систему сертификаты источника идентификации. Подробнее см. раздел «Доверенные сертификаты» во встроенной документации NAICE. |
Блок "Схема"
Схема - CUSTOM.Блок "Подключение"
Admin dn - имя пользователя, который будет использоваться для обращения в Active Directory. Пользователь должен быть предварительно добавлен администратором в Active Directory. Имя пользователя можно задавать в форматах:Admin password - пароль пользователя.Имя хоста - полное имя домена, в котором будет выполняться аутентификация пользователей, например test.loc. Так же можно указать предпочтительный контроллер домена, который будет использоваться для обращений, например srv1.test.loc.Port - порт подключения к контроллеру домена по протоколу LDAP. Как правило, используется порт 389. При включении опции «Включить LDAPS» в процессе создания источника порт автоматически изменится на 636, так как он используется протоколом LDAPS. Если значение порта было задано вручную ранее, автоматическая замена выполнена не будет. Блок "Структура каталога"
Subject search base - строка поиска атрибутов объектов (в данном случае - компьютеров) в Active Directory по протоколу LDAP, например dc=test,dc=loc.Group search base - строка поиска групп в Active Directory по протоколу LDAP, например dc=test,dc=loc.При необходимости ограничить поиск определенными подразделениями можно указать их в строке поиска, например: |
После заполнения настроек необходимо нажать кнопку "Проверить связь с сервером". Если настройки корректны, появится сообщение:
Нажать кнопку Добавить.
Добавить источник идентификаций можно независимо от успешности проверки связи с сервером. |
Более подробно о настраиваемых параметрах можно узнать во встроенной документации 
.
Добавление групп не является обязательным и требуется только если планируется использовать их в условиях политик авторизации. |
После добавления источника идентификаций кнопка Добавить смениться на кнопку Далее. Можно нажать её, что бы перейти в раздел Группы или нажать наверху страницы на 2 Группы и добавить группы, которые предполагается использовать в политиках авторизации:
Нажать кнопку Получить данные и выбрать группы, которые требуется добавить. В данном примере добавляем группу Гости домена.
При необходимости найти определенную группу надо в поле Фильтр ввести имя группы. При необходимости можно добавить "*" в начале или конце названия группы, что позволит выполнить поиск по словосочетанию.
|
После выбора необходимых групп нажать кнопку Сохранить.
Добавление атрибутов не является обязательным шагом, но может потребоваться в случае настройки доступа по одному из атрибутов объектов. Например, существует возможность выдавать пользователю VLAN или ACL, получая их значение из какого-либо атрибута объекта в MS AD. С данным блоком настроек можно ознакомиться в общей инструкции по интеграции с Active Directory: v1.1_4.1.1 Настройка интеграции с Active Directory. |
Открыть раздел Пользователи и устройства → Управление идентификацией → Цепочки идентификации и нажать кнопку :
Необходимо:
Атрибут "Subject - Common Name" указан в качестве примера. Это не единственный атрибут, который можно использовать в рамках авторизации. Главное требование к атрибуту - однозначное соответствие значения единственному объекту в домене.
|
После создания цепочки идентификации с использованием ранее созданного источника нажать кнопку Добавить.
Настройка возможности использовать протокол EAP-TLS выполняется в разделе Доступ к сети → Элементы политик → Разрешенные протоколы. В списке разрешенных протоколов по умолчанию Default protocols поддержка протокола уже включена. Если создается новый список доступных протоколов, необходимо включить поддержку EAP-TLS:
Необходимо перейти в раздел Доступ к сети → Политики RADIUS и нажать значок добавления нового набора политик:
Заполнить:
Имя - название политики, например EAP-TLS PolicySetКликнуть Условия, в открывшемся редакторе заполнить:
Далее необходимо подтвердить выбор кнопкой Использовать. После чего откроется предыдущее окно создания набора политик, но с уже заполненным полем Условия.
Затем необходимо кликнуть Сохранить, и перейти к настройке политики значком ">>"
Откроется окно настройки политики:
Здесь необходимо выбрать настроенную ранее цепочку идентификации, а затем в поле Профили авторизации выбрать PermitAccess, далее нажать Сохранить.
В инструкции рассмотрена настройка базового минимального набора политик для работы авторизации, подробнее ознакомиться с настройкой политик можно во встроенной документации v1.1_5. Встроенная документация. |
Предполагается, что ПК-клиенты уже подключены к домену, а также имеют сертификаты машинной авторизации и сертификат ЦС, добавленные в Сертификаты компьютера. |
Для настройки сетевого подключения потребуется перейти Пуск → Параметры → Сеть и Интернет → Ethernet → Настройка параметров адаптера. В открывшемся окне выбрать адаптер, дважды нажать на него левой кнопкой мыши и перейти в окно свойств. Перейти во вкладку Проверка подлинности:
Нажать кнопку Параметры справа от метода проверки подлинности, в открывшемся окне:
Нажать ОK.
На вкладке Проверка подлинности нажать в нижней части на кнопку Дополнительные параметры, в открывшемся окне:
Повторно в двух окнах подряд нажать ОК, закрыв вкладку свойств подключения.
После выполнения данных действий подключить компьютер к сети и убедиться в возможности авторизации с использованием сертификата.
Предполагается, что ПК-клиенты уже подключены к домену, а также имеют сертификаты машинной авторизации и сертификат ЦС, добавленные в Сертификаты компьютера. |
Для настройки сетевого подключения потребуется перейти Пуск → Параметры → Сеть и Интернет → Ethernet, найти настройку Параметры проверки подлинности.
Нажать кнопку Изменить, переключить положение кнопки и нажать на Изменить конфигурацию. Выставить метод EAP - Смарт-карта или другой сертификат (EAP-TLS), нажать кнопку Сохранить.
Далее перейти Пуск → Панель управления → Сеть и Интернет → Центр управления сетями и общим доступом. Найти используемый сетевой адаптер и нажать на гиперссылку. В открывшемся окне, для перехода к настройкам подлинности, нажать на кнопку Свойства и перейти во вкладку Проверка подлинности:
Нажать кнопку Параметры справа от метода проверки подлинности, в открывшемся окне:
Нажать ОK.
На вкладке Проверка подлинности нажать в нижней части на кнопку Дополнительные параметры, в открывшемся окне:
Повторно в двух окнах подряд нажать ОК, закрыв вкладку свойств подключения.
После выполнения данных действий подключить компьютер к сети и убедиться в возможности авторизации с использованием сертификата.
Пример успешной авторизации в разделе Мониторинг → RADIUS:
Информация при выборе успешной сессии авторизации:
