EAP-TLS является протоколом взаимной аутентификации клиента и сервера с использованием сертификатов. Данный метод предусматривает, что для сервера и каждого клиента выпускается отдельный сертификат. За выпуск сертификатов отвечает центр сертификации (далее ЦС).
Для корректной работы EAP-TLS требуется выполнить следующие действия:
Сертификат, используемый NAICE-RADIUS для выполнения EAP-TLS аутентификации, не изменяет сертификат, используемый для EAP-PEAP аутентификации. |
Требования к RADIUS-сертификатам, OCSP-серверу и ограничения реализации указаны в статье v1.2_3.14 Обновление/замена сертификатов RADIUS для EAP-PEAP/TLS в разделе "Требования и ограничения".
Установка сертификатов описана в статье v1.2_3.14 Обновление/замена сертификатов RADIUS для EAP-PEAP/TLS. Данная настройка обязательна в части настройки EAP-TLS сертификатов!
Настройка сетевых устройств, политик аутентификации и авторизации, внешних источников идентификации не имеет особенностей и далее в приведенной инструкции не рассматривается. Предполагается, что эти сущности уже настроены. Пример настроек можно посмотреть в v1.2_4. Быстрый запуск (Quickstart).
Авторизация пользователей с использованием протокола EAP-TLS имеет следующие особенности:
Настройка выполняется в разделе Пользователи и устройства → Управление идентификацией → Цепочки идентификаций при создании или редактировании цепочки идентификаций:

Необходимо включить настройку , после этого станет доступен выбор атрибутов:
Сравнение значения выбранного атрибута выполняется для источников типа ACTIVE DIRECTORY или LDAP со значением атрибута, выбранного в поле Subject Name Attribute.
Для внутреннего источника идентификации (Internal DB) сравнение выполняется со значением указанным в поле Логин пользователя. Значение в поле должно соответствовать значению в выбранном атрибуте для успешной проверки аутентификации.
Если сертификат пользователя не содержит атрибут, используемый для идентификации, запрос на аутентификацию будет отклонен. |
Аутентификация пользователя без проверки соответствия имени пользователя или выбранного атрибута сертификата только по факту валидности сертификата невозможна! |
Далее приведен пример настройки проверки сертификата по атрибуту Subject - Common Name с использованием ранее настроенного источника данных AD:

Настройка возможности использовать протокол EAP-TLS выполняется в разделе Доступ к сети → Элементы политик → Разрешенные протоколы. В списке разрешенных протоколов по умолчанию Default protocols поддержка протокола уже включена. Если создается новый список доступных протоколов, необходимо включить поддержку EAP-TLS:




Пример успешной авторизации в разделе Мониторинг → RADIUS → Журнал подключений:

Пример, отображаемый при нажатии иконки в столбце Подробнее для пользователя:

Порядок настройки подключения клиента на ОС Windows 10
Порядок настройки подключения клиента на ОС Windows 11
Порядок настройки подключения клиента на ОС Ubuntu 22.04