Описание 

В данной инструкции описано, как выполнить настройку аутентификации по протоколу EAP-TLS с использованием "машинного" сертификата компьютера, подключенного к домену MS Active Directory.

В рамках инструкции описывается:

1) Добавление в NAICE сертификатов, необходимых для работы EAP-TLS.

2) Настройка подключения к MS AD, а также добавление MS AD в качестве внешнего источника пользовательских учетных данных.

3) Настройка необходимых для EAP-TLS авторизации сущностей, с учетом требуемых для использования машинных сертификатов изменений.

4) Настройка сетевого подключения ПК-клиента на примере ОС Windows 10.

Требования и ограничения

Общие требования

Требования к RADIUS-сертификатам, OCSP-серверу и ограничения реализации указаны в статье v1.2_3.14 Обновление/замена сертификатов RADIUS для EAP-PEAP/TLS в разделе "Требования и ограничения".

Требования к Active Directory

Требования и ограничения при взаимодействии с источником Active Directory можно просмотреть во встроенной документации. Для этого необходимо на странице Пользователи и устройства → Управление идентификацией → Внешние источники идентификации нажать в меню слева внизу на кнопку : страница со встроенной документации откроется в отдельном разделе.


Подробно весь процесс настройки EAP-TLS авторизации, а также описание процесса создания сертификатов описаны в основной инструкции: v1.2_4.6 Настройка EAP-TLS аутентификации. Пожалуйста, ознакомьтесь с ней перед выполнением следующих шагов.


Установка сертификатов

Установка сертификатов описана в статье v1.2_3.14 Обновление/замена сертификатов RADIUS для EAP-PEAP/TLS. Данная настройка обязательна в части настройки EAP-TLS сертификатов!

Настройка NAICE 

Добавление сетевого устройства

Необходимо:

  1. Настроить профиль для сетевого устройства либо выбрать один из профилей доступных по умолчанию.
  2. Добавить сетевое устройство в NAICE и назначить ему профиль.

В инструкции будет использоваться встроенный профиль "Eltex-MES". Для настройки своего профиля можно воспользоваться встроенной документацией: v1.2_5. Встроенная документация.

Для работы авторизации 802.1x необходимо соответствующим образом сконфигурировать порты сетевого коммутатора, для этого необходимо обратиться к инструкции производителя.

Для настройки сетевого устройства в NAICE необходимо открыть раздел Пользователи и устройства → Сетевые ресурсы → Устройства и нажать (слева над таблицей). Откроется окно добавления сетевого устройства:

Заполните следующие поля:

Нажать Сохранить после заполнения настроек.

Настройка подключения к MS AD

Подробно весь процесс настройки подключения к Active Directory описан в статье v1.2_4.1.1 Настройка интеграции с Active Directory, но в текущей инструкции потребуются лишь некоторые шаги, рассмотренные ниже.

Создание источника идентификации

Для работы "машинной" авторизации при интеграции с MS AD нельзя использовать в настройке внешнего источника идентификации схему "ACTIVE_DIRECTORY"!

В этом случае используется схема "CUSTOM"!

Открыть раздел Пользователи и устройства → Управление идентификацией → Внешние источники идентификации и нажать . Откроется окно добавления внешнего источника идентификаций:

Настройка структурно разделена на блоки.

Для корректной и безопасной работы LDAPS необходимо добавить в систему сертификаты источника идентификации. Подробнее см. раздел «Доверенные сертификаты» во встроенной документации NAICE. 

Блок "Схема"

Блок "Подключение"

Блок "Структура каталога"

При необходимости ограничить поиск определенными подразделениями можно указать их в строке поиска, например: ou=naice,dc=example,dc=org . Если подразделения является вложенным для другого подразделения необходимо перечислить их все до корня домена, начиная с требуемого подразделения, например: ou=test,ou=naice,dc=example,dc=org .

После заполнения настроек необходимо нажать кнопку Добавить. После этого станет доступна функция "Проверить связь с сервером". Если настройки корректны, появится сообщение:

Более подробно о настраиваемых параметрах можно узнать во встроенной документации .

Добавление групп

Добавление групп не является обязательным и требуется только если планируется использовать их в условиях политик авторизации.

После добавления источника идентификаций кнопка Добавить смениться на кнопку Далее. Можно нажать её, что бы перейти в раздел Группы или нажать наверху страницы на 2 Группы и добавить группы, которые предполагается использовать в политиках авторизации:

Нажать кнопку Получить данные и выбрать группы, которые требуется добавить. В данном примере добавляем группу Гости домена.

При необходимости найти определенную группу надо в поле Фильтр ввести имя группы. При необходимости можно добавить "*" в начале или конце названия группы, что позволит выполнить поиск по словосочетанию.


После выбора необходимых групп нажать кнопку Сохранить.

Добавление атрибутов объектов

Добавление атрибутов не является обязательным шагом, но может потребоваться в случае настройки доступа по одному из атрибутов объектов. Например, существует возможность выдавать пользователю VLAN или ACL, получая их значение из какого-либо атрибута объекта в MS AD.

С данным блоком настроек можно ознакомиться в общей инструкции по интеграции с Active Directory: v1.2_4.1.1 Настройка интеграции с Active Directory.

Настройка EAP-TLS авторизации

Создание цепочки идентификаций с использованием ранее созданного источника идентификации

Открыть раздел Пользователи и устройства → Управление идентификацией → Цепочки идентификации и нажать кнопку :

Необходимо:


Атрибут "Subject - Common Name" указан в качестве примера. Это не единственный атрибут, который можно использовать в рамках авторизации. Главное требование к атрибуту - однозначное соответствие значения единственному объекту в домене.

        Issuer: C=RU, L=Moscow, OU=adm.test.loc, CN=Administration, emailAddress=adm@test.loc
        Validity
            Not Before: Jun 23 11:13:30 2025 GMT
            Not After : Jun 23 11:13:30 2027 GMT
        Subject: C=RU, tester@test.loc  <--------- Уникальный атрибут сертификата, определяющий принадлежность к ПК
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)


В качестве альтернативы, например, можно использовать атрибут Subject Alternative Name - DNS (если он есть в сертификате). В таком случае в настройке схемы внешнего источника необходимо поменять значение Subject name attribute на dNSHostName.

После создания цепочки идентификации с использованием ранее созданного источника нажать кнопку Добавить.

Настройка списка разрешенных протоколов

Настройка возможности использовать протокол EAP-TLS выполняется в разделе Доступ к сети → Элементы политик → Разрешенные протоколы. В списке разрешенных протоколов по умолчанию Default protocols поддержка протокола уже включена. Если создается новый список доступных протоколов, необходимо включить поддержку EAP-TLS:

Настройка набора политик авторизации/аутентификации

Необходимо перейти в раздел Доступ к сети → Политики RADIUS и нажать иконку добавления нового набора политик:

Заполнить:

Кликнуть Условия, в открывшемся редакторе заполнить:


Далее необходимо подтвердить выбор кнопкой Использовать. После чего откроется предыдущее окно создания набора политик, но с уже заполненным полем Условия.

Затем необходимо кликнуть Сохранить, и перейти к настройке политики значком ">>"


Откроется окно настройки политики:


Здесь необходимо выбрать настроенную ранее цепочку идентификации, а затем в поле Профили авторизации выбрать PermitAccess, далее нажать Сохранить.

В инструкции рассмотрена настройка базового минимального набора политик для работы авторизации, подробнее ознакомиться с настройкой политик можно во встроенной документации v1.2_5. Встроенная документация.

Настройка сетевого подключения на примере клиента Windows 10

Предполагается, что ПК-клиенты уже подключены к домену, а также имеют сертификаты машинной авторизации и сертификат ЦС, добавленные в Сертификаты компьютера.

Для настройки сетевого подключения потребуется перейти Пуск → Параметры → Сеть и Интернет → Ethernet → Настройка параметров адаптера. В открывшемся окне выбрать адаптер, дважды нажать на него левой кнопкой мыши и перейти в окно свойств. Перейти во вкладку Проверка подлинности:

Нажать кнопку Параметры справа от метода проверки подлинности, в открывшемся окне:

Нажать ОK.

На вкладке Проверка подлинности нажать в нижней части на кнопку Дополнительные параметры, в открывшемся окне:

Повторно в двух окнах подряд нажать ОК, закрыв вкладку свойств подключения.

После выполнения данных действий подключить компьютер к сети и убедиться в возможности авторизации с использованием сертификата.

Настройка сетевого подключения на примере клиента Windows 11

Предполагается, что ПК-клиенты уже подключены к домену, а также имеют сертификаты машинной авторизации и сертификат ЦС, добавленные в Сертификаты компьютера.

Для настройки сетевого подключения потребуется перейти Пуск → Параметры → Сеть и Интернет → Ethernet, найти настройку Параметры проверки подлинности.

Нажать кнопку Изменить, переключить положение кнопки и нажать на Изменить конфигурацию. Выставить метод EAP - Смарт-карта или другой сертификат (EAP-TLS), нажать кнопку Сохранить.

 

Далее перейти Пуск → Панель управления → Сеть и Интернет → Центр управления сетями и общим доступом. Найти используемый сетевой адаптер и нажать на гиперссылку.  В открывшемся окне, для перехода к настройкам подлинности, нажать на кнопку Свойства и перейти во вкладку Проверка подлинности:

Нажать кнопку Параметры справа от метода проверки подлинности, в открывшемся окне:

Нажать ОK.

На вкладке Проверка подлинности нажать в нижней части на кнопку Дополнительные параметры, в открывшемся окне:

Повторно в двух окнах подряд нажать ОК, закрыв вкладку свойств подключения.

После выполнения данных действий подключить компьютер к сети и убедиться в возможности авторизации с использованием сертификата.


Проверка успешности подключения

Пример успешной авторизации в разделе Мониторинг →  RADIUS → Журнал подключений:

Подробная информация при выборе успешной сессии авторизации: