Настроить EAP-аутентификацию

Для работы с методами аутентификации EAP-TLS, EAP-TTLS и EAP-PEAP необходимы сертификаты:

  • CA-сертификат удостоверяющего центра;
  • закрытый сертификат сервера;
  • публичный сертификат сервера — он устанавливается на клиентском устройстве. Например, в Wi-Fi-клиенте роутера с поддержкой EAP-enterprise или на мобильном устройстве.

Сначала подготовьте сертификаты. Затем укажите пароль к закрытому сертификату в настройках RADIUS-агента.

Подготовить сертификаты

Порядок действий отличается в зависимости от того, как вы получаете сертификаты:

  • уже сгенерировали самостоятельно, с помощью внешних инструментов;
  • нужно сгенерировать с помощью скрипта, входящего в поставку АСР LANBilling.

При генерации закрытого сертификата сервера запомните пароль. В дальнейшем пароль нужно будет указать в настройках RADIUS-агента.

  1. Поместите сертификаты в директорию /usr/local/billing/cert/ и переименуйте их.

    • cacert.pem — CA-сертификат удостоверяющего центра;
    • cert-srv.pem — закрытый сертификат сервера.
  2. Сгенерируйте файл .random. Пример:

    dd if=/dev/urandom of=/usr/local/billing/cert/.random count=2
    

    ``

  1. Откройте скрипт cert_server.sh:

    nano /usr/local/billing/cert/cert_server.sh
    

    ``

    Заполните данные о своей компании. По умолчанию в скрипте задан пароль для закрытого сертификата сервера — superpassword. Вы можете указать свой.

  2. Запустите скрипт, чтобы сгенерировать сертификаты. Они сохранятся в директорию /usr/local/billing/cert/.

    В ней будет два файла:

    • cacert.pem — CA-сертификат удостоверяющего центра;
    • cert-srv.pem — закрытый сертификат сервера.

Указать пароль в настройках RADIUS-агента

  1. Откройте RADIUS-агент, для которого нужно настроить аутентификацию по EAP.

  2. Перейдите на вкладку «Особые настройки».

    image
  3. В поле «Пароль к EAP сертификату» укажите пароль для закрытого сертификата сервера.

    image
  4. Сохраните настройки агента.

    image