Настроить EAP-аутентификацию
Для работы с методами аутентификации EAP-TLS, EAP-TTLS и EAP-PEAP необходимы сертификаты:
- CA-сертификат удостоверяющего центра;
- закрытый сертификат сервера;
- публичный сертификат сервера — он устанавливается на клиентском устройстве. Например, в Wi-Fi-клиенте роутера с поддержкой EAP-enterprise или на мобильном устройстве.
Сначала подготовьте сертификаты. Затем укажите пароль к закрытому сертификату в настройках RADIUS-агента.
Подготовить сертификаты
Порядок действий отличается в зависимости от того, как вы получаете сертификаты:
- уже сгенерировали самостоятельно, с помощью внешних инструментов;
- нужно сгенерировать с помощью скрипта, входящего в поставку АСР LANBilling.
При генерации закрытого сертификата сервера запомните пароль. В дальнейшем пароль нужно будет указать в настройках RADIUS-агента.
-
Поместите сертификаты в директорию /usr/local/billing/cert/ и переименуйте их.
- cacert.pem — CA-сертификат удостоверяющего центра;
- cert-srv.pem — закрытый сертификат сервера.
-
Сгенерируйте файл .random. Пример:
dd if=/dev/urandom of=/usr/local/billing/cert/.random count=2``
-
Откройте скрипт cert_server.sh:
nano /usr/local/billing/cert/cert_server.sh``
Заполните данные о своей компании. По умолчанию в скрипте задан пароль для закрытого сертификата сервера —
superpassword. Вы можете указать свой. -
Запустите скрипт, чтобы сгенерировать сертификаты. Они сохранятся в директорию /usr/local/billing/cert/.
В ней будет два файла:
- cacert.pem — CA-сертификат удостоверяющего центра;
- cert-srv.pem — закрытый сертификат сервера.
Указать пароль в настройках RADIUS-агента
-
Откройте RADIUS-агент, для которого нужно настроить аутентификацию по EAP.
-
Перейдите на вкладку «Особые настройки».
-
В поле «Пароль к EAP сертификату» укажите пароль для закрытого сертификата сервера.
-
Сохраните настройки агента.
Есть вопросы по документации? Пожалуйста, напишите их