Настройка сервера RADIUS в UniFi

Шлюзы UniFi оснащены встроенным сервером RADIUS, который может использоваться со стандартом 802.1X для безопасной аутентификации VPN и сетевого доступа.

Как включить сервер RADIUS

1. Перейдите в Настройки > Профили > RADIUS.
2. Выберите Сервер RADIUS по умолчанию, чтобы открыть его настройки.
3. Нажмите Включить.
4. Настройте остальные параметры, включая:
   • Secret: Предварительно заданный общий ключ, предоставленный устройству-аутентификатору и серверу RADIUS. Он обеспечивает аутентификацию между ними и гарантирует целостность сообщений RADIUS.
   • Порт аутентификации: Порт, через который устройства-аутентификаторы и сервер RADIUS отправляют и принимают сообщения аутентификации.
   • Порт учёта: Порт, через который устройства-аутентификаторы и сервер RADIUS отправляют и принимают сообщения учёта.
   • Интервал промежуточного учёта: Время (в мс), через которое пакет запроса доступа RADIUS отправляется с атрибутом Acct-Status-Type со значением «interim-update». Этот запрос уточняет статус активной сессии. Промежуточные записи содержат текущую продолжительность сессии и могут предоставлять сведения об использовании трафика.

Примечание: Сервер RADIUS собирает информацию о клиентах, которую отправляет аутентификатор. Эти данные могут использоваться для учёта и отчётности по сетевой активности. Информация передаётся при входе и выходе пользователя — такие запросы обычно называются учётными. Подробнее об учёте RADIUS см. в RFC2866.

Как создать пользователей в сетевом приложении

1. Перейдите в Настройки > Профили > RADIUS.
2. Выберите Создать нового пользователя RADIUS.
3. Заполните следующие поля:
   • Имя пользователя: Введите уникальное имя.
   • Пароль: Задайте пароль.
   • VLAN: Назначьте клиенту, прошедшему аутентификацию RADIUS, определённый VLAN при использовании VLAN, назначаемых RADIUS (см. ниже).
   • Тип туннеля: См. RFC2868, раздел 3.1
   • Тип среды туннеля: См. RFC2868, раздел 3.2

Информацию об аутентификации устройств по MAC-адресам см. в разделе Аутентификация по MAC на базе RADIUS и 802.1X.

Как включить VLAN, назначаемый через RADIUS

1. Перейдите в Настройки > Профили > RADIUS и выберите свой профиль.
2. Включите Поддержку VLAN, назначаемых RADIUS, для нужных типов сетей.
3. Назначьте своих пользователей определённым VLAN.
   1. Для динамических VLAN установите tunnel-type = 13 и tunnel-medium-type = 6.

Примечание: Если в профиле пользователя не указан VLAN, клиент будет подключён к нетегированному VLAN.

Как включить RADIUS поверх TLS (RADSEC)

Перед началом учтите, что RADIUS поверх TLS используется только для Wi-Fi.

1. Получите пакет сертификатов от вашего поставщика Passpoint или стороннего сервера RADIUS. Пакет должен включать клиентский сертификат, закрытый ключ и сертификат(ы) CA.
2. Перейдите в Настройки > Профили > RADIUS и выберите профиль для настройки.
3. Активируйте параметр TLS, чтобы включить RADIUS поверх TLS.
4. Загрузите клиентский сертификат, закрытый ключ и сертификат(ы) CA из пакета.

Примечание: Поле пароля не требуется, если только это прямо не указано вашим провайдером Passpoint или сервером RADIUS.

Как включить RADIUS Change of Authorizations (CoA) в беспроводной сети

1. Перейдите в Настройки > WiFi и выберите свою беспроводную сеть.
2. Установите Протокол безопасности на WPA2 Enterprise или WPA3 Enterprise.
3. Выберите ранее настроенный профиль RADIUS.
4. Включите DAS/DAC (CoA).

Примечание: RADIUS CoA требует следующего:

• Должны быть настроены серверы учёта RADIUS.
• Рекомендуется короткий промежуточный интервал (например, 300 секунд) — уточните у вашего провайдера RADIUS.
• Для обмена CoA-информацией должен быть открыт порт 3799 и выше между точкой доступа и сервером RADIUS.
• Необходимые атрибуты RADIUS:
  • Учетные данные (User-Name, Framed-IP-Address, Calling-Station-ID и др.)
  • Acct-Session-id
  • NAS-IP-Address
  • NAS-Identifier

Что такое 802.1X?

Стандарт 802.1X — это стандарт контроля доступа для аутентификации устройств в сети. Он включает четыре компонента:

• Supplicant (Клиент): Устройство, запрашивающее доступ к системным службам.
• Authenticator (Аутентификатор): Порт или устройство, которое взаимодействует с сервером аутентификации перед предоставлением доступа.
• Authentication Server (Сервер аутентификации): Внешний сервер (например, сервер RADIUS), выполняющий проверку и определяющий, разрешён ли доступ клиенту.
• Accounting Server (Сервер учёта): Необязательный внешний сервер (например, RADIUS), который ведёт записи о сессиях: учётные данные клиента, время подключения и отключения, а также периодические обновления.

Поддержка RADIUS поверх TLS (RADSEC) добавлена начиная с UniFi Network 8.4 и более новых версий. Для этого требуются клиентский сертификат, закрытый ключ и сертификат CA от поддерживаемого сервера RADIUS.

Процесс аутентификации 802.1X

Клиентское устройство проходит авторизацию сервером RADIUS с помощью 802.1X следующим образом:

1. Устройство запрашивает у пользователя учётные данные.
2. Пользователь вводит данные для входа.
3. Клиентское устройство отправляет запрос уровня канала данных аутентификатору для доступа в сеть.
4. Аутентификатор отправляет сообщение «RADIUS Access Request» на сервер RADIUS.
5. Сервер RADIUS возвращает одно из трёх сообщений:
   • Access-Reject: Доступ в сеть запрещён.
   • Access-Challenge: Необходима дополнительная проверка (например, второй пароль, токен, PIN или карта). Это сообщение также используется в более сложных сценариях с установкой защищённого туннеля между устройством и сервером RADIUS.
   • Access-Accept: Пользователю предоставлен доступ к сети.
6. Если включён учёт и задан промежуточный интервал обновлений, клиент будет периодически отправлять данные на сервер учёта до выхода из сети.