В рамках данной лабораторной работы мы объясним, что такое протокол аутентификации EAP-TLS, покажем процесс настройки EAP-TLS-соединения в системе AxelNAC, изучим, какие существуют сертификаты и как их установить на клиентскую и серверную часть, а также разберем самые часто встречающиеся проблемы. Длительность выполнения лабораторной работы — 4 часа.

Протокол EAP-TLS

Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) — это открытый стандарт IETF, определенный в RFC 5216. В общем смысле EAP-TLS — это очень безопасный и часто используемый в сетях протокол аутентификации. В двух словах, он использует цифровые сертификаты устройств и серверов для проверки валидности друг друга.

Данный протокол опирается на криптографию с открытым ключом, что еще больше повышает его безопасность. Кроме того, он обеспечивает конфиденциальность и целостность данных, передаваемых между клиентом и сервером, благодаря использованию различных методов шифрования. Сертификаты создаются и функционируют благодаря концепции, называемой асимметричной криптографией. EAP-TLS часто используется в деловой среде, безопасных сетях Wi-Fi и виртуальных частных сетях (VPN) для защиты данных и подтверждения идентичности.

В протоколе EAP-TLS подход к аутентификации состоит из нескольких важных шагов, каждый из которых помогает создать безопасное соединение:

1. Инициация: Клиент запрашивает сервер о начале аутентификации с помощью EAP-TLS.
2. Приветствие сервера и сертификат: Сервер отвечает приветственным сообщением и своим SSL-сертификатом. SSL-сертификат сервера включает его открытый ключ и другие данные.
3. Запрос сертификата клиента: Сервер отправляет сообщение с запросом сертификата клиента.
4. Обмен ключами: Клиенты передают SSL-сертификаты серверам. Сертификат клиента содержит его открытый ключ и другую информацию. После отправки сертификата клиент и сервер могут обменяться ключами.
5. Проверка сервера: Сервер проверяет сертификат клиента и может изучить CRL или цепочку сертификатов.
6. Проверка клиента: Клиент проверяет сертификат сервера аналогично предыдущему шагу.
7. Генерация сеансового ключа: После аутентификации клиент и сервер создают сеансовый ключ или набор ключей для шифрования данных.
8. Безопасная связь: После создания сеансового ключа клиент и сервер могут использовать TLS для безопасной передачи данных.

Протокол EAP-TLS считается наиболее безопасным протоколом аутентификации для сетей 802.1X. Требование взаимной аутентификации сертификатов сохраняет актуальность и доминирующее положение протокола уже более 15 лет. Одним из основных преимуществ безопасности в сетях EAP-TLS является возможность проверки сертификата сервера. Эта техника делает пользователей практически неуязвимыми для распространенных атак по воздуху, таких как атака человек посередине (Man-in-the-Middle). Такие взломы обычно основаны на использовании поддельных точек доступа (AP), чтобы обмануть устройства пользователей и заставить их автоматически пытаться аутентифицироваться на поддельной AP. Устройство автоматически отправляет настоящие учетные данные без ведома пользователя, что позволяет хакеру без особых усилий получить учетные данные.

Проверка сертификата сервера требует, чтобы и клиент, и сервер подтвердили свою идентичность, поэтому устройство, настроенное на аутентификацию EAP-TLS (и, соответственно, проверку сертификата сервера), никогда не примет поддельную точку доступа за настоящую. Это требование взаимной аутентификации является основополагающим для всех аутентификаций на основе сертификатов и источником силы EAP-TLS. Сертификаты выполняют аналогичные функции в таких процессах, как S/MIME и подписание цифровых подписей.

Преимущества EAP-TLS

Протокол EAP-TLS обладает множеством преимуществ, которые делают его очень популярным среди организаций, стремящихся укрепить свою инфраструктуру безопасности и обеспечить бесперебойную работу пользователей. Давайте рассмотрим основные преимущества этого протокола.

Высокая безопасность аутентификации

Аутентификация по протоколу EAP-TLS — один из самых надежных вариантов при сравнении протоколов безопасности аутентификации. Когда цифровые сертификаты X.509 шифруются с помощью современных криптографических методов, таких как криптография на эллиптических кривых (ECC), протокол обеспечивает высочайший уровень безопасности.

Благодаря продуманному механизму защиты EAP-TLS очень устойчив к подслушиванию, атакам типа "человек посередине" и другим формам вторжения в сеть. Предприятия могут создать очень безопасный канал связи, используя цифровые сертификаты для надежного шифрования, защищая конфиденциальность и безопасность любой информации, передаваемой по сети.

Улучшенная видимость сети и контроль доступа

EAP-TLS — это альтернатива аутентификации на основе пароля, которая использует цифровые сертификаты, привязанные к отдельным пользователям или устройствам. Эта функция значительно улучшает видимость сети, позволяя администраторам легко распознавать и аутентифицировать подключенные устройства. Риски, связанные с несанкционированным доступом и возможными нарушениями безопасности, снижаются, когда доступ разрешен только аутентифицированным устройствам с действительными сертификатами. Эта функция помогает повысить уровень безопасности организации, делая сетевую архитектуру более надежной и простой в управлении.

Улучшенный пользовательский опыт и сокращение трудозатрат

В отличие от сетей, основанных на учетных данных, EAP-TLS обеспечивает лучший пользовательский опыт. Пользователи освобождаются от необходимости запоминать и хранить сложные пароли благодаря сертификатам, привязанным к устройствам, и возможности автоматической аутентификации. ИТ-отделы могут сэкономить время и силы на решении таких распространенных проблем аутентификации, как забытые пароли и необходимость их частой смены. Администраторы сами контролируют время действия сертификата, что позволяет им управлять циклами повторной проверки и гарантировать безопасный доступ к сети.

Повышенная безопасность по сравнению с системами на основе паролей

Повторное использование паролей — одна из основных проблем безопасности в системах, основанных на паролях, поскольку это увеличивает вероятность несанкционированного доступа и утечки данных. В EAP-TLS используются цифровые сертификаты, предотвращающие дублирование и повторное использование сертификатов, что делает невозможным использование украденных учетных данных в любых целях. EAP-TLS обеспечивает повышенную безопасность для защиты конфиденциальных данных и ресурсов, снижая риски, связанные с кражей и повторным использованием паролей, и укрепляя сеть против сложных кибернетических атак.

Внедрение EAP-TLS в сетевую инфраструктуру компании позволяет повысить уровень безопасности, улучшить работу пользователей и упростить административные процедуры, что способствует созданию более безопасной и устойчивой сетевой среды, лучше подходящей для долгосрочного ведения бизнеса и защиты данных.

Что требуется для аутентификации EAP-TLS

Минимальная необходимая инфраструктура для аутентификации по протоколу EAP-TLS:

• AAA/RADIUS-сервер
• Точка доступа/контроллер/коммутатор с поддержкой 802.1X
• Инфраструктура открытых ключей (PKI)

Разумеется, этот короткий список позволяет представить все гораздо проще, чем есть на самом деле. PKI состоит из более чем десятка различных компонентов, каждый из которых имеет огромное значение для процесса конфигурирования, предоставления, отзыва и другого управления цифровыми сертификатами.

Предоставление и включение сертификатов действительно является важнейшим компонентом. Понимание основных компонентов, таких как центр сертификации (CA), центр регистрации (RA), шаблоны сертификатов, список отзыва сертификатов (CRL), сохранение и восстановление ключей, необходимо для создания эффективной PKI.

Кроме того, очень важно разработать подход к распределению и обслуживанию сертификатов на нескольких устройствах. В зависимости от размера и сложности сети это может включать взаимодействие с системами управления устройствами, настройку сетевых политик, автоматические методы регистрации или ручное распределение.

Существует множество открытых или других бесплатных ресурсов для создания функциональной сети 802.1X с EAP-TLS, таких как FreeRADIUS и расширения Active Directory NPS и AD CS.

Настройка EAP-TLS-соединения

Для того, чтобы настроить соединение с аутентификацией по протоколу EAP-TLS необходимо выполнить два подготовительных и три основных этапа:

1. Настроить стандарт безопасности 802.1x на коммутаторе/WLC;
2. Настроить коммутатор/WLC в AxelNAC;
3. Установить и настроить центр сертификации;
4. Установить сертификат на клиентское устройство;
5. Установить сертификат на сервер аутентификации;
6. Настроить соединение в AxelNAC.

Рассмотрим каждый из них подробнее. 

Настройка коммутатора в AxelNAC

Первым подготовительным этапом является первоначальная настройка коммутатора. Необходимо сконфигурировать коммутатор таким образом, чтобы он интегрировался с AxelNAC с помощью стандарта 802.1x.

Настройка стандарта 802.1x на коммутаторе

В данной лабораторной работе мы рассмотрим подключение коммутатора доступа Cisco Catalyst 2960 с IP-адресом 172.21.2.3. Также, в примере рассмотрен IP-адрес сервера AxelNAC 10.31.205.172.

Шаг 1. Подключитесь к этому коммутатору по протоколу SSH как администратор.

Шаг 2. Активируйте стандарт 802.1x на коммутаторе с помощью команды:

dot1x system-auth-control

Шаг 3. Настройте AAA таким образом, чтобы он использовал только что созданный сервер AxelNAC с помощью следующих команд:

aaa new-model
aaa group server radius AxelNAC
server 10.31.205.172 auth-port 1812 acct-port 1813
aaa authentication login default local
aaa authentication dot1x default group AxelNAC
aaa authorization network default group AxelNAC
radius-server host 10.31.205.172 auth-port 1812 acct-port 1813 timeout 2 key
useStrongerSecret
radius-server vsa send authentication
snmp-server community public RO
snmp-server community private RW

Шаг 4. Настройте все (или только необходимые) порты для работы со стандартом 802.1x. В примере ниже выбран только порт №10:

interface fastEthernet 0/10
switchport mode access
authentication host-mode single-host
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
authentication periodic
authentication timer restart 10800
authentication timer reauthenticate 10800
mab
no snmp trap link-status
dot1x pae authenticator
dot1x timeout quiet-period 2
dot1x timeout tx-period 3

Шаг 5. Сохраните конфигурацию коммутатора.

Настройка коммутатора в AxelNAC

Шаг 1. В AxelNAC перейдите в раздел Конфигурация → Политика и контроль доступа → Сетевые устройства → Сетевые устройства и нажмите Новое сетевое устройство. В выпадающем списке выберите значение default.

Шаг 2. На открывшейся странице заполните поля следующим образом:

• IP-адрес/MAC-адрес/диапазон (CIDR): 172.21.2.3;
• Тип: Cisco Catalyst 2960;
• Режим: Продуктивный.

Шаг 3. Переключитесь на вкладку Роли и убедитесь, что параметр Назначать VLAN ID (роль по идентификатору VLAN) активирован.

Шаг 4. Переключитесь на вкладку RADIUS и в поле Секретная фраза укажите секретную фразу, которую вы настроили на коммутаторе. В нашем примере секретная фраза — useStrongerSecret .

Шаг 5.  На вкладке SNMP укажите необходимые значения в полях Community Read и Community Write.

Значения по умолчанию:

• Community Read — public;
• Community Write — private.

Шаг 6. Для добавления коммутатора нажмите кнопку Создать в левом нижнем углу страницы.

Настройка WLC в AxelNAC

Для создания беспроводного соединения необходимо сконфигурировать WLC таким образом, чтобы он интегрировался с AxelNAC с помощью стандарта 802.1x. Данный процесс описан в Руководстве по интеграции с сетевыми устройствами. 

Настройка центра сертификации (ЦС)

Вторым подготовительным этапом является установка и настройка центра сертификации (ЦС). В качестве ЦС может быть использовано различное ПО, поэтому данный этап должен быть изучен самостоятельно. После настройки ЦС, выпустите сертификаты для стороны сервера и стороны клиента.

После выпуска контейнера необходимо извлечь сертификаты для их установки. Данный процесс можно выполнить с помощью AxelNAC:

Шаг 1. Переместите ранее созданный контейнер сертификатов в AxelNAC, используя следующую команду и введите пароль для доступа к AxelNAC:

scp <путь к контейнеру сертификатов> anac@{<IP-адрес AxelNAC}:~/{Контейнер сертификата}.pfx

Пример:
scp C:\Users\Default\downloads\Certificates.pfx anac@10.28.121.52:~/Certificates.pfx

Шаг 2. Подключитесь к AxelNAC по SSH, создайте и переместите сертификат в удобную директорию с помощью следующего набора команд:

mkdir <папка для сертификатов>
mv /root/{Контейнер сертификата}.pfx <папка для сертификатов>/
cd <папка для сертификатов>

Пример:
mkdir certs
mv /root/Certificates.pfx certs/
cd certs

Шаг 3. В рабочей директории необходимо разделить сертификат на 3 части: Открытый ключ, сертификат УЦ, приватный ключ. Во время разделения сертификатов у вас запросят пароль от контейнера:

openssl pkcs12 -in {Контейнер сертификата}.pfx -clcerts -nokeys -out <имя сертификата>.crt
openssl pkcs12 -in {Контейнер сертификата}.pfx -cacerts -nokeys -out <имя сертификата УЦ>.crt
openssl pkcs12 -in {Контейнер сертификата}.pfx -nocerts -out <имя закрытого ключа>.key

Пример:
openssl pkcs12 -in Certificates.pfx -clcerts -nokeys -out Axelnac_cert.crt
openssl pkcs12 -in Certificates.pfx -cacerts -nokeys -out Axeldemo_CA.crt
openssl pkcs12 -in Certificates.pfx -nocerts -out Axelnac_private_key.key

Шаг 4. Скорректируйте содержимое сертификатов: при экспорте через openssl могут появиться лишние данные, поэтому необходимо оставить только информацию о сертификатах (начиная с ------BEGIN CERTIFICATE------ и заканчивая ------END CERTIFICATE------). Также необходимо инвертировать порядок указанных сертификатов так, чтобы первым был сертификат УЦ ближайший к клиенту.

Шаг 5. Полученные сертификаты необходимо перенести на АРМ, у которой есть доступ к веб-интерфейсу AxelNAC:

scp  anac@{IP-адрес AxelNAC}:~/<путь к файлу сертификата>/{Имя сертификата}.crt <Путь для переноса сертификата на АРМ>\{Имя сертификата}.crt
scp  anac@{IP-адрес AxelNAC}:~/<путь к файлу сертификата УЦ>/{Имя сертификата УЦ}.crt <Путь для переноса сертификата УЦ на АРМ>\{Имя сертификата УЦ}.crt
scp  anac@{IP-адрес AxelNAC}:~/<путь к файлу закрытого ключа>/{Имя закрытого ключа}.crt <Путь для переноса закрытого ключа на АРМ>\{Имя закрытого ключа}.crt

Пример:
scp  anac@10.28.121.52:~/scan_winrs_cert/Axelnac_cert.crt C:\Users\Default\downloads\Axelnac_cert.crt
scp  anac@10.28.121.52:~/scan_winrs_cert/Axeldemo_CA.crt C:\Users\Default\downloads\Axeldemo_CA.crt
scp  anac@10.28.121.52:~/scan_winrs_cert/Axelnac_private_key.key C:\Users\Default\downloads\Axelnac_private_key.key

Шаг 6. Для получения отпечатка сертификата на linux, воспользуйтесь командой:

openssl x509 -in {имя файла сертификата}.crt -fingerprint -sha1 -noout

Пример:
openssl x509 -in cert.crt -fingerprint -sha1 -noout

Установка сертификата на стороне клиента

Для того, чтобы клиентское устройство могло быть подключено к серверу с аутентификацией по протоколу EAP-TLS необходимо установить сертификаты на устройство. Поля, которые могут содержать сертификаты показаны в таблице 1.

Таблица 1 — Обязательные и опциональные поля сертификатов

Поле	Описание	Пример	Статус
UPN	User Principal Name пользователя	nb1@axeldemo.pro	Для выполнения аутентификации необходимо заполнить хотя бы одно из этих полей
CN	Common Name пользователя	nb1@axeldemo.pro
DNS	DNS АРМ	nb1.axeldemo.pro
IP Address	IP-адрес АРМ	192.31.205.15	Данные поля носят информационный характер и не требуют заполнения
Street Address	Географический адрес АРМ	ul. Lenina, 9A
State or Province	Область/провинция/штат, для которого действителен сертификат	Mockovskaya oblast
Country	Страна, для которой действителен сертификат	Honolulu
Organizational Unit	Подразделение, для которого действителен сертификат	HR
Organization	Организация, для которой действителен сертификат	AxelPRO

 Сертификат должен быть создан с включенной аутентификацией пользователя в EKU. В качестве имени пользователя в полях сертификата могут быть использованы атрибуты UPN, CN или DNS.

Шаг 1. Импортируйте сертификаты из контейнера сертификатов, следуя инструкциям мастера импорта сертификатов. При выборе хранилища сертификатов выберите Личное.

Шаг 2. Запустите в Windows сервис Проводная автонастройка (dot3svc) и добавьте его в автозагрузку.

Шаг 3. Откройте меню Сетевые подключения, затем откройте свойства сетевого интерфейса, по которому организовано подключение.

Шаг 4. На вкладке Проверка подлинности установите флажки для всех параметров.

Шаг 5. В поле Метод проверки подлинности в сети выберите значение Microsoft: смарт-карта или иной сертификат.

Шаг 6. Нажмите на кнопку Параметры справа от поля выбора метода и установите флажок для параметра Подтверждать удостоверение сервера с помощью проверки сертификата. Убедитесь, что дочерний параметр деактивирован.

Шаг 7. В поле Доверенные корневые центры сертификации выберите сертификат, ранее выданный ЦС.

Шаг 8. Перейдите в раздел Дополнительно и выберите корневого издателя сертификата. Затем нажмите OK дважды.

Шаг 9. На вкладке Проверка подлинности нажмите Дополнительные параметры, и в поле Указать режим проверки подлинности установите Проверка подлинности пользователя или компьютера. Затем нажмите ОК.

Установка сертификата на стороне сервера аутентификации

Для того, чтобы сконфигурировать соединение с аутентификацией по протоколу EAP-TLS необходимо установить сертификаты на сервере AxelNAC. Поля, которые могут содержать сертификаты показаны в таблице 1.

Шаг 1. Перейдите на вкладку RADUIS в разделе Конфигурация → Настройки системы →  SSL-сертификаты и нажмите Редактировать.

Шаг 2. На открывшейся странице замените предустановленные данные в полях Сертификат сервера RADIUS, Закрытый ключ сервера RADIUS и Сертификат(ы) от центра сертификации данными, полученными в ЦС и нажмите Сохранить в левом нижнем углу страницы.

Шаг 3. Перейдите в раздел Конфигурация → Настройки системы → RADUIS → SSL-сертификаты PKI и нажмите Новый SSL-сертификат.

Шаг 4. На открывшейся странице заполните поля следующим образом:

• Идентификатор — введите имя профиля;
• Сертификат — укажите сертификат, выпущенный ЦС для сервера;
• Центр сертификации — укажите сертификат удостоверяющего центра;
• Закрытый ключ — укажите закрытый ключ сертификата;
• Пароль для закрытого ключа — укажите пароль для контейнера сертификатов (при наличии);
• Сертификат(ы) промежуточного центра сертификации (СА) — при наличии промежуточного центра сертификации необходимо указать его сертификат, в ином случае, укажите сертификат удостоверяющего центра.

После этого, нажмите Создать в левом нижнем углу страницы.

Шаг 5. Перейдите на вкладку Профили TLS и нажмите Новый TLS-профиль.

Шаг 6. На открывшейся странице заполните поля следующим образом:

• Идентификатор — введите имя профиля;
• Профиль сертификата — укажите имя SSL-профиля созданного в предыдущем шаге;
• Минимальная версия TLS — минимальная версия TLS, поддерживаемая подключаемыми устройствами;
• Максимальная версия TLS — максимальная версия TLS, поддерживаемая подключаемыми устройствами.

После этого, нажмите Создать в левом нижнем углу страницы.

Шаг 7. Перейдите на вкладку Профили EAP и нажмите Новый профиль EAP.

Шаг 8. На открывшейся странице заполните поля следующим образом:

• Идентификатор — введите имя профиля;
• Тип EAP по умолчанию — TLS;
• Типы EAP-аутентификации — TLS;
• Профиль TLS — укажите имя TLS-профиля созданного в предыдущем шаге.

После этого, нажмите Создать в левом нижнем углу страницы.

Шаг 9. Перезапустите службу radiusd-auth.

Настройка соединения с аутентификацией по протоколу EAP-TLS в AxelNAC

После того как сертификаты установлены на обеих сторонах, можно начинать настройку соединения в AxelNAC.

Шаг 1. Перейдите в раздел Конфигурация → Политика и контроль доступа → Домены → Области и нажмите Новая область.

Шаг 2. Во вкладке Основное заполните поле Область, введя имя вашего домена.

Шаг 3. Во вкладке Настройки EAP выберите профиль EAP, который вы создали в шаге 8 установки сертификата на стороне сервера, и нажмите Создать в левом нижнем углу страницы.

Шаг 4. Перезапустите сервис radiusd-auth.

Шаг 5. Перейдите в раздел Конфигурация → Политика и контроль доступа → Источники аутентификации и нажмите Новый внутренний источник. В выпадающем списке выберите EAPTLS.

Шаг 6. На открывшейся странице заполните поля следующим образом:

• Имя — введите имя источника аутентификации;
• Описание — введите описание источника аутентификации (опционально);
• Правила аутентификации — нажмите Добавить правило, чтобы добавить правила:
  • Имя — введите имя для правила;
  • Действия — нажмите Добавить действие, чтобы добавить действия при срабатывании данного правил. Укажите роль, которая будет выдана клиенту, попадающему в этот профиль, и срок предоставления доступа.

Шаг 7. Перейдите в раздел Конфигурация → Политика и контроль доступа → Профили подключения и нажмите Новый профиль подключения.

Шаг 8. На открывшейся странице заполните поля следующим образом:

• Имя профиля — введите имя профиля подключения;
• Регистрировать устройства автоматически — Активировано;
• Фильтр — выберите параметр Тип подключения и укажите значение:
  • Ethernet-EAP — для проводного соединения;
  • Wireless-802.11-EAP — для беспроводного соединения.
• Источники — укажите имя источника аутентификации, который вы создали в шаге 6.

После этого, нажмите Создать в левом нижнем углу страницы.

Проверка работы соединения

После выполнения всех этапов лабораторной работы, вы можете проверить работу соединения. Подключите клиентское устройство к порту коммутатора на котором настроен dot1x. Клиентское устройство должно успешно авторизоваться и получить доступ в сеть.

Чтобы посмотреть, что происходит на стороне AxelNAC, перейдите в раздел Аудит → Журналы аудита RADIUS в интерфейсе администратора. Вы должны увидеть запись для MAC-адреса подключенного клиентского устройства. Щелкните строку с нужным MAC-адресом, чтобы увидеть логи обмена RADIUS-сообщениями. Если аутентификация 802.1X прошла успешно, в колонке Статус узла появится значение Зарегистрировано.

Также, вы можете подключиться к коммутатору по протоколу ssh и выполнить команду do show auth ses inte gi 1/0/40 de, где gi 1/0/40 — идентификатор порта. В случае успешного подключения, в строке Status будет указано значение Authorized.

Решение самых часто встречающихся проблем

Пользователь не попадает в созданную область, или попадает в область NULL

При подключении устройства к AxelNAC по протоколу EAP-TLS, если в CN сертификата не указан домен, клиент будет автоматически направлен в область NULL и настройки TLS-профилей будут применены также от области NULL.

Устройство будет перенаправлено в область default, или созданную вами область, если в CN сертификата будет указан домен в формате DNS (nb1.axeldemo.pro), sAMAccountName (AXELDEMO\nb1) или UPN (nb1@axeldemo.pro).

Ошибки TLS на стороне AxelNAC

OpenSSL error: unable to get local issuer certificate — AxelNAC не доверяет сертификату клиента. Возможно, со стороны AxelNAC отправляются не те сертификаты, т.к. пользователь попадает не в ту область, которую вы создали.

Ошибки TLS на стороне клиента

OpenSSL error: unable to verify the first certificate — клиент не доверяет сертификату AxelNAC. Возможно, со стороны AxelNAC отправляются не те сертификаты, т.к. пользователь попадает не в ту область, которую вы создали.

Проверка сертификата сервера

eap_tis: (TLS) Alert read:fatal:access denied — клиент не доверяет сертификату RADIUS-сервера AxelNAC, выберите корректный сертификат в настройках супликанта клиента. 

Неподходящая версия TLS

eap_tis: (TLS) Alert read:fatal:TLS vervsion — клиент использует неразрешенную версию TLS, в настройках TLS-профиля выберите корректную версию TLS.

Неразрешенный метод аутентификации

eap_tis: (TLS) Alert read:fatal:authentifaction type error — в профиле EAP, через который подключается пользователь, не разрешен тип подключения (TLS, TTLS, PEAP, MS-CHAPv2 и т.д.). При использовании MS-CHAPv2, необходимо выбрать PEAP и MS-CHAPv2.

После добавления сертификата не запускается сервис radiusd-auth

Данная ошибка связана с тем, что OpenSSL не смог собрать контейнер из указанных сертификатов, проверьте правильно ли собрана цепочка сертификатов.

При аутентификации пользователя появляется сообщение "Проверка подлинности не пройдена"

Данная ошибка может иметь несколько причин:

1. Клиент не отправил данных, так как в хранилище сертификата не нашлось контейнера сертификата;
2. Клиент не отправил данных, так как используется аутентификация устройства, а не пользователя, и контейнер сертификата установлен в пользовательское хранилище;
3. Клиент не смог проверить RADIUS-сервер AxelNAC (решение приведено в п. 3.4;
4. Используется аутентификация пользователя с подключением по RDP (описание решения данной проблемы доступно по ссылке).