Особенности настройки проводного подключения для выполнения 802.1x авторизации

Windows 10

Настройка EAP-TLS

Файл сертификата пользователя, а также сертификат ЦС требуется передать на клиентский компьютер. Для добавления сертификатов потребуются права администратора. Добавление сертификатов выполняется через консоль MMC.

Открытие консоли управления сертификатами

В меню Пуск → Выполнить (WIN + R), ввести mmc и нажать Enter:

В появившемся окне Контроль учетных записей подтвердить (нажать кнопку Да) для доступа к консоли управления MMC.

В открывшемся окне управления оснасткой в меню Файл → Добавить или удалить оснастку выбрать Сертификаты:

Нажать Добавить. В открывшемся окне выбрать моей учетной записи пользователя:

Нажать Готово, затем нажать ОК.

Откроется консоль Сертификаты - текущий пользователь.

Добавление корневого сертификата ЦС

Раскрыть список хранилищ сертификатов и правой кнопкой мыши выбрать Доверенные корневые центры сертификации. В открывшемся меню выбрать Все задачи → Импорт...:

После нажатия на Импорт... откроется окно выбора сертификатов. Выбрать сертификат ЦС:

Нажать Далее и убедиться, что импорт сертификата ЦС выполняется в хранилище Доверенные корневые центры сертификации:

Нажать кнопку Далее и в следующем окне нажать Готово. Появится окно с предупреждением системы безопасности, что является нормальным при импорте самоподписного сертификата корневого центра сертификации:

Последовательно друг за другом нажать Да и нажать ОK после появления сообщения об успешном импорте сертификата.

Добавление сертификата пользователя

В списке хранилищ сертификатов выбрать Личное и нажать на правую кнопку мыши. В открывшемся меню выбрать Все задачи → Импорт..., выбрать сертификат пользователя:

Нажать Далее. Откроется окно, в котором потребуется ввести пароль от ключа сертификата:

Ввести пароль и нажать Далее, в следующем окне Далее.

В окне завершения импорта убедиться, что сертификат импортируется в хранилище Личное:

Нажать Готово → ОК в сообщении об успешном импорте сертификатов.

Перейти в папку Личное → Сертификаты. Выбрать ранее импортированный сертификат и дважды нажать на него. Откроется окно со сведениями о сертификате:

Убедиться, что сертификат пользователя корректен и есть надпись внизу: Есть закрытый ключ для этого сертификата.

Нажать ОK и закрыть консоль управления сертификатами, на предложении сохранить ответить Нет - это не повлияет на установленные сертификаты. Можно сохранить оснастку, чтобы в дальнейшем легко получить доступ к ней.

Настройка сетевого подключения

Для настройки сетевого подключения потребуется перейти Пуск → Параметры → Сеть и Интернет → Ethernet → Настройка параметров адаптера. В открывшемся окне выбрать адаптер, дважды нажать на него левой кнопкой мыши и перейти в окно свойств. Перейти во вкладку Проверка подлинности:

• Выберите метод проверки подлинности в сети - выбрать "Microsoft: смарт-карта или иной сертификат;
• Запоминать мои учетные данные для этого подключения при каждом входе в систему - включить.

Нажать кнопку Параметры справа от метода проверки подлинности, в открывшемся окне:

• Использовать сертификат на этом компьютере - выбрать;
• Подтверждать удостоверение сервера с помощью проверки сертификата - включить;
• Доверенные корневые центры сертификации - выбрать ранее импортированный сертификат ЦС.

Нажать ОK.

На вкладке Проверка подлинности нажать в нижней части на кнопку Дополнительные параметры, в открывшемся окне:

• Указать режим проверки подлинности - включить, выбрать Проверка подлинности пользователя.

Повторно в двух окнах подряд нажать ОК, закрыв вкладку свойств подключения.

После выполнения данных действий подключить компьютер к сети и убедиться в возможности авторизации с использованием сертификата.

Включение возможности выбрать логин при выполнении подключения

По умолчанию в качестве имени пользователя при выполнении аутентификации по протоколу EAP-TLS используется поле Common Name (CN) сертификата. Чтобы выбрать произвольное имя пользователя, необходимо открыть настройки сетевого подключения: потребуется перейти Пуск → Параметры → Сеть и Интернет → Ethernet → Настройка параметров адаптера. В открывшемся окне выбрать адаптер, дважды нажать на него левой кнопкой мыши и перейти в окно свойств. Перейти во вкладку Проверка подлинности:

• Выберите метод проверки подлинности в сети - выбрать Microsoft: смарт-карта или иной сертификат;
• Запоминать мои учетные данные для этого подключения при каждом входе в систему - включить, в противном случае потребуется вводить имя пользователя при каждом подключении к сети.

Нажать кнопку Параметры справа от метода проверки подлинности, в открывшемся окне:

Включить галочку Использовать для подключения другое имя пользователя. Другие настройки надо выполнить в соответствии с инструкцией выше.

Выполнить подключение к сети.

Откроется окно Выбор сертификата:

• Имя пользователя на сертификате - выбрать сертификат, если у пользователя их есть несколько;
• Имя пользователя, отсылаемое при подключении - ввести в имя пользователя.

Нажать ОK.

Настройка EAP-PEAP

Нажать правой кнопкой внизу справа в баре на подключение и выбрать Open Network & Internet settings.

В открывшемся окне перейти в настройки Ethernet и нажать справа Change adapter options.

В новом открывшемся окне нажать правой кнопкой на сетевой интерфейс, через который необходимо подключиться к коммутатору, и выбрать Properties.

В открывшемся окне перейти во вкладку Authentication и включить:

• Enable IEEE 802.1x authentication;
• Choose a network authentication method - Microsoft: Protected EAP (PEAP);
• Remember my credentials for this connection each time I'm logged on;
• Fallback to unauthorized network access.

Нажать кнопку Additional Settings.

В открывшемся окне выбрать Specify authentication mode → User authentication и нажать Replace credentials.

В открывшемся окне ввести имя пользователя / пароль и нажать OK:

Windows 11

Настройка EAP-TLS

Файл сертификата пользователя, а также сертификат ЦС требуется передать на клиентский компьютер. Для добавления сертификатов потребуются права администратора. Добавление сертификатов выполняется через консоль MMC.

Открытие консоли управления сертификатами

В меню Пуск → Выполнить (WIN + R), ввести mmc и нажать Enter:

В появившемся окне Контроль учетных записей подтвердить (нажать кнопку Да) для доступа к консоли управления MMC.

В открывшемся окне управления оснасткой в меню Файл → Добавить или удалить оснастку выбрать Сертификаты:

Нажать Добавить. В открывшемся окне выбрать моей учетной записи пользователя:

Нажать Готово, затем нажать ОК.

Откроется консоль Сертификаты - текущий пользователь.

Добавление корневого сертификата ЦС

Раскрыть список хранилищ сертификатов и правой кнопкой мыши выбрать Доверенные корневые центры сертификации. В открывшемся меню выбрать Все задачи → Импорт...:

После нажатия на Импорт... , откроется приветственное окно мастера импорта сертификатов, нажать кнопку Далее:

Откроется окно выбора сертификатов. Выбрать сертификат ЦС:

Нажать Далее и убедиться, что импорт сертификата ЦС выполняется в хранилище Доверенные корневые центры сертификации:

Нажать кнопку Далее и в следующем окне нажать Готово. Появится окно с предупреждением системы безопасности, что является нормальным при импорте самоподписного сертификата корневого центра сертификации:

Последовательно друг за другом нажать Да и нажать ОK после появления сообщения об успешном импорте сертификата.

Добавление сертификата пользователя

В списке хранилищ сертификатов выбрать Личное и нажать на правую кнопку мыши. В открывшемся меню выбрать Все задачи → Импорт..., нажать Далее и выбрать сертификат пользователя:

Нажать Далее. Откроется окно, в котором потребуется ввести пароль от ключа сертификата:

Ввести пароль и нажать Далее, в следующем окне Далее.

В окне завершения импорта убедиться, что сертификат импортируется в хранилище Личное:

Нажать Готово → ОК в сообщении об успешном импорте сертификатов.

Перейти в папку Личное → Сертификаты. Выбрать ранее импортированный сертификат и дважды нажать на него. Откроется окно со сведениями о сертификате:

Убедиться, что сертификат пользователя корректен и есть надпись внизу: Есть закрытый ключ для этого сертификата.

Нажать ОK и закрыть консоль управления сертификатами, на предложении сохранить ответить Нет - это не повлияет на установленные сертификаты. Можно сохранить оснастку, чтобы в дальнейшем легко получить доступ к ней.

Настройка сетевого подключения

Для настройки сетевого подключения потребуется перейти Пуск → Параметры → Сеть и Интернет → Ethernet, найти настройку Параметры проверки подлинности.

Нажать кнопку Изменить, переключить положение кнопки и нажать на Изменить конфигурацию. Выставить метод EAP - Смарт-карта или другой сертификат (EAP-TLS), нажать кнопку Сохранить.

Далее перейти Пуск → Панель управления → Сеть и Интернет → Центр управления сетями и общим доступом. Найти используемый сетевой адаптер и нажать на гиперссылку.  В открывшемся окне, для перехода к настройкам подлинности, нажать на кнопку Свойства и перейти во вкладку Проверка подлинности:

• Выберите метод проверки подлинности в сети - выбрать "Microsoft: смарт-карта или иной сертификат;
• Запоминать мои учетные данные для этого подключения при каждом входе в систему - включить.

Нажать кнопку Параметры справа от метода проверки подлинности, в открывшемся окне:

• Использовать сертификат на этом компьютере - выбрать;
• Подтверждать удостоверение сервера с помощью проверки сертификата - включить;
• Доверенные корневые центры сертификации - выбрать ранее импортированный сертификат ЦС.

Нажать ОK.

На вкладке Проверка подлинности нажать в нижней части на кнопку Дополнительные параметры, в открывшемся окне:

• Указать режим проверки подлинности - включить, выбрать Проверка подлинности пользователя.

Повторно в двух окнах подряд нажать ОК, закрыв вкладку свойств подключения.

После выполнения данных действий подключить компьютер к сети и убедиться в возможности авторизации с использованием сертификата.

Включение возможности выбрать логин при выполнении подключения

По умолчанию в качестве имени пользователя при выполнении аутентификации по протоколу EAP-TLS используется поле Common Name (CN) сертификата. Чтобы выбрать произвольное имя пользователя, необходимо открыть настройки сетевого подключения: потребуется перейти Пуск → Параметры → Сеть и Интернет → Ethernet → Настройка параметров адаптера. В открывшемся окне выбрать адаптер, дважды нажать на него левой кнопкой мыши и перейти в окно свойств. Перейти во вкладку Проверка подлинности:

• Выберите метод проверки подлинности в сети - выбрать Microsoft: смарт-карта или иной сертификат;
• Запоминать мои учетные данные для этого подключения при каждом входе в систему - включить, в противном случае потребуется вводить имя пользователя при каждом подключении к сети.

Нажать кнопку Параметры справа от метода проверки подлинности, в открывшемся окне:

Включить галочку Использовать для подключения другое имя пользователя. Другие настройки надо выполнить в соответствии с инструкцией выше.

Выполнить подключение к сети.

Откроется окно Выбор сертификата:

• Имя пользователя на сертификате - выбрать сертификат, если у пользователя их есть несколько;
• Имя пользователя, отсылаемое при подключении - ввести в имя пользователя.

Нажать ОK.

Настройка EAP-PEAP

Нажать правой кнопкой внизу справа в баре на значок подключения и выбрать Параметры сети и Интернета, откроется страница:

В открывшемся окне перейти в настройки Ethernet:

и нажать кнопку Изменить для Параметры проверки подлинности:

В открывшемся окне включить настройку Включить проверку подлинности IEEE 802.1X.

Нажать Изменить конфигурацию:

Выбрать:

• Метод EAP - защищенные EAP (PEAP);
• Метод проверки подлинности - защищенный пароль (EAP-MSCHAP v2).

Нажать Сохранить.

Вернуться в Параметры → Сеть и Интернет и перейти в раздел Дополнительные сетевые параметры:

Развернуть раздел Ethernet:

и нажать кнопку Изменить параметра Другие параметры адаптера.

Откроется окно Ethernet: свойства, перейти во вкладку Проверка подлинности:

Включить галочку Включить проверку подлинности IEEE 802.1X.

Нажать кнопку Параметры справа от окна выбора метода проверки подлинности (должен быть выбран Microsoft: защищенный EAP (PEAP)):

• Подтверждать удостоверение сервера с помощью проверки сертификата - отключить, (если оставить настройку включенной, в ходе аутентификации надо будет согласится с предъявленным сертификатом RADIUS либо заранее добавить CA-сертификат, которым подписан сертификат сервера);
• Подключаться к следующим серверам - отключить;
• Включить удостоверение конфиденциальности - отключить.

Справа от метода проверки подлинности (должен быть выбран защищенный пароль (EAP-MSCHAP v2) нажать кнопку Настроить:

В открывшемся окне необходимо снять галочку с настройки Использовать автоматически имя входа и пароль из Windows (и имя домена, если существует). Два раза подряд нажать кнопку OK (второй раз в окне Свойства защищенного EAP).

Вернувшись в окно Проверка подлинности, нажать кнопку Дополнительные параметры:

Включить настройку Указать режим проверки подлинности, выбрать в выпадающем меню Проверка подлинности пользователя. Нажать ставшую доступной кнопку Сохранить учетные данные:

Ввести учетные данные: логин (без домена) и пароль. Нажать OK.

Два раза подряд нажать сначала OK в окне Параметры 802.1X, а далее нажать OK в окне Ethernet: свойства.

Ubuntu

NetworkManager

Проверка состояния NetworkManager

Проверить, управляет ли сетевыми интерфейсами NetworkManager:

nmcli device

Интерфейсы, управление которыми выполняет NetworkManager вывод, выглядят следующим образом:

nmcli device 
DEVICE           TYPE      STATE                   CONNECTION      
enp3s0           ethernet  connected               enp3s0          
enp2s0.1000      vlan      connected               enp2s0.1000     
enp2s0           ethernet  connected               enp2s0     

Неуправляемые интерфейсы выглядят следующим образом (в колонке STATE указано unmanaged):

nmcli device
DEVICE  TYPE      STATE      CONNECTION 
eth0    ethernet  unmanaged  --         
eth1    ethernet  unmanaged  --              
lo      loopback  unmanaged  --    

Если при выполнении команды вывод:

nmcli: command not found

Это значит, что NetworkManager не установлен в системе.

Установка NetworkManager

Установить NetworkManager командой:

sudo apt update && sudo apt install network-manager

В файле настроек:

/usr/lib/NetworkManager/conf.d/10-globally-managed-devices.conf

Добавить исключения для интерфейсов, которыми необходимо управлять через NetworkManager, добавив исключение в формате except:<имя интерфейса>. Пример файла, после того как были добавлены исключения для интерфейсов enp2s0 и enp3s0:

[keyfile]
unmanaged-devices=*,except:type:wifi,except:type:gsm,except:type:cdma,except:enp2s0,except:enp3s0

В файле конфигурации netplane" "/etc/netplan/01-network-manager-all.yaml изменить настройку renderer на NetworkManager для интерфейсов, управление в которых необходимо переключить на NetworkManager:

network:
  version: 2
  renderer: NetworkManager
  ethernets:
    enp3s0:

Применить настройки:

sudo netplan try

Запустить NetworkManager и включить его автозапуск:

systemctl enable NetworkManager
systemctl restart NetworkManager

Выполнить команды:

nmcli device
DEVICE           TYPE      STATE                   CONNECTION      
enp3s0           ethernet  connected               enp3s0            
enp2s0           ethernet  connected               enp2s0          

nmcli connection
NAME             UUID                                  TYPE      DEVICE          
enp3s0           12f98b70-4d3e-4789-ba2f-6c11cb17d386  ethernet  enp3s0               
enp2s0           09f7c55e-505f-436b-9f62-af48a4a36414  ethernet  enp2s0          

Убедиться, что интерфейсы управляются NetworkManager.

Создание подключения с использованием утилиты nmcli

Просмотреть список настроенных интерфейсов:

nmcli connection
NAME                   UUID                                  TYPE      DEVICE          
Ethernet connection 1  5f6d5547-dc11-4acf-95d2-03ff67551fa9  ethernet  enp3s0     

При необходимости удалить настройки интерфейса (DEVICE), для которого будет выполняться настройка:

sudo nmcli connection delete 'Ethernet connection 1'

Повторно создать интерфейс с необходимыми настройками авторизации:

sudo nmcli connection add type ethernet ifname enp3s0 con-name '8021x' \
           ipv4.method auto \
           802-1x.eap peap \
           802-1x.phase2-auth mschapv2 \
           802-1x.identity <логин пользователя> \
           802-1x.password <пароль пользователя> \
		   802-1x.system-ca-certs yes

При успешном создании подключения появится лог:

Connection '8021x' (1a268eaa-247b-4d46-b6e6-b24ce28105ca) successfully added.

После успешного создания будет выполнена попытка подключиться, используя авторизацию 802.1x.

Управление подключением с помощью утилиты nmcli

Для исправления ошибочных настроек необходимо выполнить:

sudo nmcli connection modify '8021x' \
           ipv4.method auto \
           802-1x.eap peap \
           802-1x.phase2-auth mschapv2 \
           802-1x.identity <логин пользователя> \
           802-1x.password <пароль пользователя> \
		   802-1x.system-ca-certs yes

При необходимости можно указать любой произвольный параметр, который необходимо исправить.

После чего выключить/включить интерфейс:

sudo nmcli connection down '8021x' && sudo nmcli connection up '8021x'
Connection '8021x' successfully deactivated (D-Bus active path: /org/freedesktop/NetworkManager/ActiveConnection/56)
Connection successfully activated (D-Bus active path: /org/freedesktop/NetworkManager/ActiveConnection/57)

При необходимости можно войти в интерактивный режим конфигурирования интерфейса:

sudo nmcli connection edit 8021x

В открывшемся окне ввести команду print:

nmcli> print

Используется для просмотра всех настроек сетевого интерфейса.

Для того чтобы изменить настройку, необходимо использовать команду set для соответствующей настройки:

nmcli> set 802-1x.identity <логин пользователя>
nmcli> set 802-1x.password <пароль>

Для сохранения настроек выполнить команду save:

nmcli> save
Connection '8021x' (f3a8029a-16ef-4a9f-a8f9-eee528b89fb0) successfully updated.

После чего выключить/включить интерфейс:

sudo nmcli connection down '8021x' && sudo nmcli connection up '8021x'
Connection '8021x' successfully deactivated (D-Bus active path: /org/freedesktop/NetworkManager/ActiveConnection/56)
Connection successfully activated (D-Bus active path: /org/freedesktop/NetworkManager/ActiveConnection/57)

Просмотр логов о выполнении подключения

Можно просмотреть логи в файле /var/log/syslog:

sudo cat /var/log/syslog | grep -i networkmanager

Также в случае неудачного подключения:

sudo nmcli connection down '8021x' && sudo nmcli connection up '8021x'
Connection '8021x' successfully deactivated (D-Bus active path: /org/freedesktop/NetworkManager/ActiveConnection/54)
Error: Connection activation failed: Secrets were required, but not provided
Hint: use 'journalctl -xe NM_CONNECTION=f3a8029a-16ef-4a9f-a8f9-eee528b89fb0 + NM_DEVICE=enp3s0' to get more details

Можно просмотреть лог подключения, используя утилиту journalctl, которую необходимо запускать с правами sudo:

sudo journalctl -xe NM_CONNECTION=f3a8029a-16ef-4a9f-a8f9-eee528b89fb0 + NM_DEVICE=enp3s0

Ubuntu 22 - настройка через GUI

Настройка EAP-TLS

Перенести файлы на компьютер в отдельную папку.

Перейти в раздел Настройки → Сеть:

Нажать справа от сетевого подключения, откроется окно настройки, перейти во вкладку Безопасность:

• Безопасность 8021.1x - включить;
• Аутентификация - выбрать TLS;
• Подлинность - указать имя пользователя сертификата (без доменной части);
• Сертификат пользователя - выбрать файл сертификат пользователя;
• Сертификат CA - выбрать файл сертификата ЦС;
• Приватный ключ - выбрать файл закрытого ключа сертификата пользователя;
• Пароль приватного ключа - пароль к закрытому ключу.

Нажать Apply.

После выполнения данных действий подключить компьютер к сети и убедиться в возможности авторизации с использованием сертификата.

Настройка EAP-PEAP

Открыть NetworkManager можно через меню, поиск или нажатием на соответствующую иконку в панели управления подключениями в статус-баре:

Выбрать пункт Edit Connections...:

Выбрать нужное сетевое подключение и нажать внизу на шестеренку.

В открывшемся окне выбрать вкладку 802.1X security:

В поле Authentication выбрать Protected EAP (PEAP):

• Authentication: Protected EAP (PEAP);
• CA certificate: выбрать сертификат CA, которым подписан сертификат RADIUS-сервера (необходимо предварительно загрузить на клиента). Если не хотим проверять сертификат сервера, то нужно включить настройку No CA certificate is required;
• PEAP version: Automatic;
• Inner authentication: MSCHAPv2;
• Username: имя пользователя;
• Password: пароль пользователя.

Нажать Save.