Для аутентификации пользователей по протоколу EAP-PEAP используется сертификат, выпущенный публичным центром сертификации, в результате чего для его проверки не требуется каких либо действий с сертификатом со стороны клиента. Данный сертификат выпускается сроком на один год и требует обновления по истечению срока действия.
Проверить окончание срока действия сертификата можно командой:
sudo docker exec -it naice-radius openssl x509 -in /etc/raddb/certs/tls/trusted_server_chain.crt -noout -enddate notAfter=Jan 12 07:17:16 2025 GMT
По умолчанию сертификат встроен в контейнер и обновляется по мере выхода новых версий NAICE. Для неактуальных версий требуется ручное обновление. Так же при необходимости можно использовать произвольный сторонний сертификат.
Актуальный на момент выхода данной версии NAICE сертификат : radius_certs_to_21012026.tar.gz
Для ручной замены сертификатов RADIUS-сервера необходимо выполнить следующие действия:
На сервере с NAICE создать директорию, в которую поместить сертификаты из архива (например, /
директория-установки-NAICE/tls
):sudo mkdir /etc/docker-naice/tls
- Перенести файлы сертификатов в ранее созданную папку.
Проверить и при необходимости назначить корректные права доступа и владельца файлов:
sudo chown root:root /etc/docker-naice/tls sudo chmod 600 /etc/docker-naice/tls
Пробросить папку с сертификатами в контейнер naice-radius с помощью volume, отредактировав docker-compose.yml:
docker-compose.ymlnaice-radius: [...] volumes: - ${RADIUS_LOG_PATH}:/opt/var/log/radius - ./tls:/opt/etc/raddb/certs/tls
Указать названия новых файлов в переменных окружения .env, если они отличаются от существующих, указать при необходимости пароль к файлу ключа сертификата:
.envRADIUS_CERTS_CA_CERT_FILE: trusted_server.crt # имя файла корневого (CA) сертификата RADIUS_CERTS_PRIVATE_KEY_FILE: trusted_server.k # имя файла приватного ключа сертификата сервера RADIUS_CERTS_PRIVATE_KEY_PASSWORD: # пароль к файлу приватного ключа сертификата сервера; оставьте пустым, если файл приватного ключа не защищен паролем RADIUS_CERTS_CERTIFICATE_FILE: trusted_server_chain.crt # имя файла серверного сертификата
Примените внесенные настройки с помощью рестарта контейнера naice-radius:
sudo docker compose down naice-radius && sudo docker compose up -d naice-radius
Проверить что контейнер с naice-radius запущен успешно:
sudo docker compose ps -a | grep radius WARN[0000] /etc/docker-naice/docker-compose.yml: the attribute `version` is obsolete, it will be ignored, please remove it to avoid potential confusion naice-radius nexus.eltex.loc:9015/naice-radius:0.7 "/docker-entrypoint.…" naice-radius 10 hours ago Up 21 seconds (healthy) 0.0.0.0:1812-1813->1812-1813/udp, :::1812-1813->1812-1813/udp, 0.0.0.0:9812->9812/tcp, :::9812->9812/tcp
Если контейнер не запущен - надо просмотреть логи на предмет ошибок командой :
sudo cat /var/log/radius/radius.log
- Проверить работоспособность аутентификации по протоколу EAP-PEAP.