Общее описание 

EAP-TLS является протоколом взаимной аутентификации клиента и сервера с использованием сертификатов. Данный метод предусматривает, что для сервера и каждого клиента выпускается отдельный сертификат. За выпуск сертификатов отвечает центр сертификации (далее ЦС).

Для корректной работы EAP-TLS требуется выполнить следующие действия:

  1. Выпустить сертификат сервера.
  2. Загрузить его в NAICE и настроить использование согласно v1.2_3.14 Обновление/замена сертификатов RADIUS для EAP-PEAP/TLS.
  3. Настроить авторизацию в NAICE с использованием сертификатов.
  4. Выпустить сертификат пользователя.
  5. Настроить на эндпоинте аутентификацию с помощью выпущенного сертификата пользователя.
  6. Проверить работу аутентификации.

Сертификат, используемый NAICE-RADIUS для выполнения EAP-TLS аутентификации, не изменяет сертификат, используемый для EAP-PEAP аутентификации.

Требования и ограничения

Требования к RADIUS-сертификатам, OCSP-серверу и ограничения реализации указаны в статье v1.2_3.14 Обновление/замена сертификатов RADIUS для EAP-PEAP/TLS в разделе "Требования и ограничения".


Установка сертификатов

Установка сертификатов описана в статье v1.2_3.14 Обновление/замена сертификатов RADIUS для EAP-PEAP/TLS. Данная настройка обязательна в части настройки EAP-TLS сертификатов!


Настройка NAICE

Общее описание

Настройка сетевых устройств, политик аутентификации и авторизации, внешних источников идентификации не имеет особенностей и далее в приведенной инструкции не рассматривается. Предполагается, что эти сущности уже настроены. Пример настроек можно посмотреть в v1.2_4. Быстрый запуск (Quickstart).

Авторизация пользователей с использованием протокола EAP-TLS имеет следующие особенности:

Настройка используемого атрибута сертификата в цепочке идентификаций

Настройка выполняется в разделе Пользователи и устройства → Управление идентификацией → Цепочки идентификаций при создании или редактировании цепочки идентификаций:

Необходимо включить настройку , после этого станет доступен выбор атрибутов:

Сравнение значения выбранного атрибута выполняется для источников типа ACTIVE DIRECTORY или LDAP со значением атрибута, выбранного в поле Subject Name Attribute.

Для внутреннего источника идентификации (Internal DB) сравнение выполняется со значением указанным в поле Логин пользователя. Значение в поле должно соответствовать значению в выбранном атрибуте для успешной проверки аутентификации.

Если сертификат пользователя не содержит атрибут, используемый для идентификации, запрос на аутентификацию будет отклонен.


Аутентификация пользователя без проверки соответствия имени пользователя или выбранного атрибута сертификата только по факту валидности сертификата невозможна!

Далее приведен пример настройки проверки сертификата по атрибуту Subject - Common Name с использованием ранее настроенного источника данных AD:

Управление в службе доступных протоколов

Настройка возможности использовать протокол EAP-TLS выполняется в разделе Доступ к сети → Элементы политик → Разрешенные протоколы. В списке разрешенных протоколов по умолчанию Default protocols поддержка протокола уже включена. Если создается новый список доступных протоколов, необходимо включить поддержку EAP-TLS:

Пример настройки набора политик

Пример успешной авторизации в разделе Мониторинг →  RADIUS → Журнал подключений:

Пример, отображаемый при нажатии иконки в столбце Подробнее для пользователя:

Настройка подключения на клиентском устройстве

Windows 10

Порядок настройки подключения клиента на ОС Windows 10

Windows 11

Порядок настройки подключения клиента на ОС Windows 11

Ubuntu 22.04

Порядок настройки подключения клиента на ОС Ubuntu 22.04