2024 ж. 07 жел.·4 мин

FreeRADIUS 802.1X баптау: тоқтаусыз енгізу жоспары

Кеңселік ортаға 802.1X енгізу бойынша практикалық жоспар: FreeRADIUS-пен баптау, EAP таңдау, қонақ желісі, құрылғыларды есепке алу және тоқтаусыз енгізу.

FreeRADIUS 802.1X баптау: тоқтаусыз енгізу жоспары

Неліктен 802.1X, NAC сатып алғыңыз келмесе

Коммерциялық NAC көбіне баға мен кейінгі тәуелділікпен қорқытады. Лицензиялар пайдаланушыларға, құрылғыларға немесе порттарға есептелуі мүмкін. Жоба ұзаққа созылып, бір жыл ішінде белгілі бір вендорға байлауда қаласыз.

802.1X + RADIUS негізгі міндетті — кім қосылды және сол адам/құрылғы желіге кіруге құқылы ма — қарапайым әрі тиімді шешеді. RADIUS-сервер ретінде жиі FreeRADIUS қолданылады. Көп компанияға FreeRADIUS-пен 802.1X баптау түсінікті әрі басқарылатын жоба: стандартты протоколдар, ашық ережелер, «сиқыр» минимумы.

NAC болмаған жағдайда әдетте мына нәрселер жабылады:

  • Қол жеткізуді тексеру (пайдаланушы немесе құрылғы) сымды және Wi‑Fi желілерінде.
  • Рөлдер бойынша қатынасты бөлу (қызметкер, мердігер, қонақ, техникалық құрылғы) және әрбіреуге VLAN беру.
  • Қосылымдарды жазу және кіру әрекеттері бойынша базалық есеп беру.
  • «Сұр» қосылымдарды азайту: кездейсоқ ноутбуктар, белгісіз точкалар, жұмыс орындарының ауысулары.

Алайда шекаралары бар екенін түсіну маңызды. 802.1X өздігінен құрылғы күйін бақыламайды: ол жұқтырған ноутбукты «емдемейді», антивирустың бар-жоғын тексермейді және MDM/EDR сияқты қосымша жүйелерсіз «осы — корпоративті образ» деп сендіре алмайды. Қатал сәйкестік талаптары, күрделі қонақ порталы мен кең аналитика қажет болса, толыққанды NAC немесе қосалқы жүйе орынды болмақ.

Пайдаланушылар да өзгешелікті сезеді. Бірінші қосылу логин/пароль немесе сертификат орнатуды талап етуі мүмкін, ал «кабельді штепсельге қосып, бәрі жұмыс істейді» сирек болады. Стрессті азайту үшін алдын ала хабарлап, пилоттан бастау және маңызды жұмыс орындарына уақытша резервтік қолжетімділік қалдыру маңызды.

Қалай жұмыс істейді: FreeRADIUS-пен қарапайым 802.1X схемасы

802.1X-ті желіге кіреберістегі күзетші ретінде елестеткен дұрыс. Құрылғы өзіне «өзіміз» екенін дәлелдегенше, коммутатордың порты немесе Wi‑Fi ішкі ресурстарға қолжетімділік бермейді.

Түпнұсқа схемада төрт рөл бар:

  • Коммутатор немесе точка доступа (NAS) — құрылғыдан «сіз кімсіз?» деп сұрап, сұрауды тексеруге жібереді.
  • RADIUS-сервер (FreeRADIUS) — сұранысты қабылдап, ережелерді қолданады және шешім қайтарады: рұқсат немесе жоқ.
  • Пайдаланушылар каталогы (мысалы, AD/LDAP) — есептік жазбалардың көзі.
  • Сертификат орталығы (CA) — егер сертификат бойынша аутентификация таңдасаңыз, сертификаттарды шығарады.

Сымды желіде 802.1X порт деңгейінде жұмыс істейді: порт әдепкі бойынша «бекітілмеген», табысты тексеруден кейін ашылып, қажетті параметрлерді (мысалы, VLAN) алады. Wi‑Fi-де логика сол, бірақ көбіне WPA2-Enterprise немесе WPA3-Enterprise арқылы жүзеге асады: клиент SSID-ге қосылып, 802.1X пен RADIUS арқылы тексеріледі.

FreeRADIUS-тағы ең пайдалы бөлік — саясаттар. Олар үш сұраққа жауап береді: кім қосылып жатыр (пайдаланушы немесе құрылғы), қайдан қосылып жатыр (порт, SSID, офис), және қандай шарттарда (уақыт, құрылғы түрі, каталогтағы топ). Саясат нәтижесі әдетте үштен біреуі болады: рұқсат, бас тарту немесе шектеулі сегментке жолдау.

Қарапайым мысал: Finance тобының қызметкері кабель арқылы қосылып, корпоративтік VLAN алады. Сол адам қонақ SSID арқылы кірсе, қонақ VLAN-ға түсіп, тек интернетке шығуға мүмкіндік алады.

Арнайы паролдерді бөлу үшін FreeRADIUS әдетте логиндерді каталогта тексереді. Қосымша қауіпсіздік үшін сертификаттар қосылады. Сол кезде схема болжаулы: порт немесе Wi‑Fi сұрайды, RADIUS ережелерге қарай шешім қабылдайды, ал есептік дереккөздер бұрынғыдай орындарда қалады.

EAP әдісін таңдау: EAP-TLS, PEAP және компромистер

EAP — 802.1X-тағы аутентификация әдістерін ұстап тұратын «қаптама». Пайдаланушы үшін бәрі бірдей көрінеді: құрылғы қосылып, тексеріледі. Бірақ дәл қалай дәлелденетіні (сертификатпен немесе парольмен) қауіпсіздік, қолдаудың жеңілдігі мен енгізу жылдамдығына әсер етеді.

EAP-TLS: басқарылатын құрылғылар үшін ең жоғары қауіпсіздік

EAP-TLS өзара сертификатпен тексеруді қолданады: сервер өзінің шынайылығын дәлелдейді, құрылғы да оған рұқсат берілгенін дәлелдейді. Парольдер желіде мүлде жүрмейді.

Бұл корпоративтік, орталықтан басқарылатын ноутбуктар мен ПК үшін ең жақсы нұсқа: сертификаттарды бір орталықтан таратуға, жаңартуға және басқаруға болады. Осы сценарийде FreeRADIUS-пен 802.1X баптау таза нәтиже береді: қолжетімдікті нақты құрылғыға байлауға болады, ал парольдердің «ұшып кету» қаупі айтарлықтай төмендейді.

PEAP/MSCHAPv2: ыңғайлы, бірақ нюанстар бар

PEAP әдетте жылдам бастау керек болғанда және әр құрылғыға сертификат инфраструктурасын орнатуға уақыт болмаған кезде таңдалады. Қорғалған туннель ішіне логин мен пароль өтеді (көбіне AD-логин).

Компромисс — қауіпсіздік парольдерге және клиенттік тәртіпке тәуелді. Егер пайдаланушылар сервер сертификатын «әрдайым сенімді» деп шолып жіберіп, тексермеуді таңдаса, жалған точкаға алдандыру арқылы құпия сөз жинауға болады. Сондықтан PEAP үшін сервер сертификаты мен оның атына қатты сенімділік орнату маңызды және пароль талаптарын сақтату қажет.

TEAP және басқа нұсқалар: қай кезде қарастырған жөн

TEAP құрылғыны да, пайдаланушыны да бір уақытта тексеріп, BYOD үшін икемді саясаттар жасау қажет болғанда пайдалы. Бірақ клиенттер мен желілік жабдықтарда TEAP-тің қолдауы әлі біркелкі емес, сондықтан оны әдетте негізгі схема жұмысты бастағаннан кейін енгізеді.

Кәдімгі офис үшін осындай таңдау логикасы жеткілікті:

  • Басқарылатын корпоративтік ПК/ноутбуктар: EAP-TLS.
  • Жылдам пилот және аралас орта: PEAP/MSCHAPv2, бірақ клиенттерде сервер сертификатын міндетті түрде тексеру.
  • Құрылғы мен пайдаланушыны бірге тексеру қажет болса: TEAP (егер клиенттер мен контроллерлер сенімді қолдаса).
  • 802.1X-ті қолдамайтын принтерлер/IoT: бөлек саясат (мысалы, MAB) және бөлек сегмент.

Қарапайым ереже: егер сіз құрылғыларды шынайы басқара алсаңыз — сертификат таңдаңыз. Басқармасаңыз — пароль негізіндегі әдісті уақытша көпір ретінде қолданыңыз, бірақ EAP-TLS-ке көшу жоспары болсын.

Есептік жазбалар мен сертификаттар: қиындықсыз дайындық

802.1X-тің ең күрделі бөлігі көбіне FreeRADIUS емес, есептік деректерді дайындау. Құрылғы қандай жолмен өз құқығын дәлелдейтінын алдын ала шешсеңіз, енгізу әлдеқайда тыныш өтеді.

Қай CA таңдауға болады

EAP-TLS үшін сертификат қажет. CA таңдау домен бар ма және инфрақұрылымды кім қолдайтынына байланысты.

Егер Active Directory болса, AD CS жиі таңдалады: доменді Windows құрылғыларын GPO арқылы автоматты түрде беру ыңғайлы. Егер оқшауланған модель керек болса, жеке CA бөлек серверде немесе дәл желіге арналған бөлек CA жасалады. Бұл негізгі PKI-ге қауіп азайтады: желіге қатысты проблемалар негізгі PKI-ге әсер етпейді.

Кәсіпорын паркі үшін көбіне AD CS жеткілікті. Қаржы, медицина немесе мемлекеттік секілді критикалық салаларда бөлек, оқшауланған CA жиі қолданылады.

Сертификаттардың өмірлік циклі

Сертификаттарды бір реттік орнату емес, тұтыну материалындай жоспарлаңыз. Олай жасағанда «күтпеген ажыраулар» азырақ болады.

  • Шығару: айқын шаблондар (пайдаланушы/машина), беруге минимальды құқықтар.
  • Мерзімі: әдетте 6–24 ай, «мәңгі» сертификаттар жинамау үшін.
  • Жаңарту: автоматтандырылған, мерзім бітерден бұрын резервпен.
  • Шығаруынан бас тарту: жұмыстан шығару, ноутбук жоғалу немесе компрометация жағдайлары үшін анық процесс.
  • Есеп: шығарылған сертификаттар тізімі және оларды пайдаланушы/құрылғыға байлау.

Автоматты тарату Windows доменінде GPO және auto-enrollment арқылы, macOS пен мобильді құрылғыларда MDM профильдері арқылы, басқарылмайтын құрылғылар үшін дайын орнату пакеті мен нұсқаулық арқылы ұйымдастырылады.

Егер PEAP қолдануға мәжбүр болсаңыз

PEAP бастауға ыңғайлы, бірақ ол парольге сүйенеді. Құпия сөздердің берілу қауіпін азайту үшін клиенттерге RADIUS-сервер сертификатын тексеруді міндеттеңіз: сенімді CA және дұрыс сервер аты. Қосымша шара — желіге кіруге арналған бөлек шектеулі есептік жазбалар және мүмкін болған жерде MFA қолдану.

802.1X-ті қолдамайтын құрылғылар

Принтерлер, камералар, ескі терминалдар көбіне 802.1X-ті немесе EAP-TLS-ті қолдамайды. Ондайда MAB қолданады, бірақ оны әдепкі «тесікке» айналдырмау қажет. Жақсы практика — бөлек VLAN және қатаң ережелер: құрылғы тек қажетті серверге ғана қол жеткізе алсын.

Минималды есептілік ауыр бақылаусыз жасауға болады: логтарда кім, қай құрылғы, қай порт арқылы қосылғанын және қай VLAN-ға түскенін тіркеу. Сонымен қатар ерекшеліктер тізімі (принтер/IoT) иесі мен орнымен сақталуы, қайта қарау мерзімі қойылуы, белгісіз құрылғылар карантин VLAN-ға жіберілуі керек.

Қосымша бақылау қажет болғанда (жаңа жүйелер, шифрлау, антивирус, jailbreak/root) MDM/endpoint немесе NAC секілді қосымша шешімдер біріктіріледі. Бірақ тіпті оларсыз корпоративтік, жеке және «үйлесімсіз» құрылғыларға бөлек саясаттар қауіптерді айтарлықтай азайтады.

Қадамдық: FreeRADIUS пен 802.1X пилоты

Серверы под FreeRADIUS и логи
Подберем серверную платформу и резервирование под RADIUS, логи и рост пользователей.
Запросить расчет

Пилот — ережелерді аз адамдар мен құрылғыларда тексеріп, офис жұмысын тоқтатпай жүзеге асыру әдісі. «Кішкене аймақ, анық ережелер, тез откат» тәсілі ең тиімді: қай жерде ақау барын жылдам көруге мүмкіндік береді.

Алдымен қысқа инвентаризация жасаңыз. Маңыздысы — жабдық 802.1X-ті және қай режимдерін қолдайтынын білу: сымды RADIUS, WPA2-Enterprise/WPA3-Enterprise, динамикалық VLAN, MAB, т.б. Прошивкаларды, RADIUS серверлер санына шектеулерді және қонақ SSID немесе бөлек VLAN бар-жоғын тексеріңіз.

Тесті аймақ ретінде бір қабат, бір бөлім немесе бір SSID және бір сымды VLAN таңдаңыз, мінсіз — ең аз маңызды орындардан. Босқа жоспар Б: портты уақытша бұрынғы режимге қайтару немесе пайдаланушыны карантин VLAN-ға аудару.

FreeRADIUS-ты баптау: clients ретінде желілік құрылғыларды қосыңыз (IP және shared secret), тест топтар мен қарапайым саясаттар жасаңыз. Мысалы: қызметкерлер — толық қолжетімділік, тест BYOD — тек интернет, белгісіздер — карантин.

Коммутаторда немесе точкада 802.1X қосып, пилотты сақтап қалуға көмектесетін параметрлерді орнатыңыз:

  • тексеруден кейін ғана authorized режиміне өту, әйтпесе қонақ/карантин VLAN;
  • таймауттар мен қайталауларды орнату, құрылғылар циклге түспесін үшін;
  • 802.1X-ті қолдамайтындар үшін MAB мүмкіндігі;
  • әдістер тәртібі: алдымен 802.1X, кейін fallback.

Тексеруді нақты сценарийлер бойынша жүргізіңіз. 2–3 тест пайдаланушы мен 2–3 құрылғы (корпоративтік ноутбук, жеке телефон, желілік принтер) алып, күтілетін нәтижені жазып қойыңыз. Егер сәйкессіздік болса, алдымен RADIUS логтарын қараңыз (пароль қатесі, қолдаусыз EAP, қате secret, NAS-IP), хаотикалық қайта баптаудан бұрын.

Тоқтаусыз енгізу: миграция жоспары

PKI и сертификаты без паники
Поможем с CA, шаблонами и процессом продления, чтобы сертификаты не «отваливались».
Оставить заявку

Миграция идеясы — алдымен бақылау, кейін шектеу, соңында қатаң тексеру қосу. Осылайша бір рет басып бүкіл офисті «кесіп тастамайсыз», керісінше дайын еместерді біртіндеп тауып жойасыз.

Миграция кезеңдері: бақылаудан enforce-ке

Бастысы — жеңіл бақылаудан бастаңыз: бір қабат, бір бөлім немесе бір коммутатор.

  • Пилот дайындалсын: 20–50 пайдаланушы және типтік құрылғылар.
  • 802.1X-ті жұмсақ режимде (monitor/low impact) қосыңыз: порт трафикті өткізеді, бірақ аутентификация нәтижелері мен бас тарту себептері жиналады.
  • Қауіпсіздік сақтандыруы ретінде MAB немесе карантин VLAN-дар рұқсат етілсін.
  • Пилотты enforce-ке ауыстырыңыз: тек тексерілгендер жұмыс желісіне кіреді, қалғандары карантинге немесе қонаққа аударылады.
  • Қамту аймағын кеңейтіңіз: алдымен жұмыс орындары, кейін жиналыс бөлмелері, жалпы аймақтар.

Әр кезең арасында 2–5 жұмыс күнін қалдырыңыз, осылай қай құрылғылар таңертең қосылатынын, түнде белсенді құрылғыларды және жаңартудан кейін не істелетінін көресіз.

Қызметкерлерге хабарлау, өзгеріс уақыттары және откат жоспары

Қызметкерлерге «802.1X қосуды» емес, нақты не өзгеретінін айтыңыз: логин сұралады, сертификат қажет болады, қонақтарға бөлек қолжетімділік беріледі. Пилот күні мен қатысушыларды алдын ала хабарлаңыз және мәселе шықса қайда жазыу керек екенін көрсетіңіз.

Откат жоспары қысқа әрі сынақтан өткен болуы тиіс:

  • ағымдағы порт және VLAN баптауларын сақтап алыңыз, тез қайтару үшін;
  • администраторға арналған break-glass порты болсын;
  • IP‑телефония, касса, терминал сияқты критикалық сервистердің иелерімен өзгеріс уақытын келістіріңіз;
  • тоқтатуды бастау критерийлерін анықтаңыз (мысалы, пилоттың 5%‑дан көпі жұмыссыз қалса).

Осы тәсіл арқылы жылдам әрі қауіпсіз қозғалуға болады: қолжетімділік кезең-кезеңімен қосылады, офис үйлесімділік мәселелері кезінде де жұмысын жалғастыра береді.

Диагностика: логтар, бас тарту себептері және жылдам тексерулер

Егер 802.1X «кіртпесе», көбінде жауап логтарда бар. FreeRADIUS пен желілік жабдық логтарын бір уақытта қарау маңызды: коммутатор не жіберді және RADIUS не себеппен қабылдады немесе бас тартты.

Қайдан бастау керек

FreeRADIUS жағында анықтауға арналған ең пайдалы режим — отладка. Ол қай жерде үзілім болғанын көрсетеді: EAP-ті таңдау, пароль тексерісі, сертификат тексерісі, саясат қолдану.

freeradius -X

Желілік жабдықта 802.1X/RADIUS оқиғаларын қараңыз: Access-Request жіберілді ме, Access-Reject қайтарылды ма, таймауттар болды ма, порт қонақ VLAN-ға немесе unauthorized күйге өтті ме. Көп жағдайда мәселе RADIUS-ке жетпеуде болады (ACL, shared secret қате, шығу IP сәйкес емес).

Кездесетін типтік себептер:

  • Клиент пен сервердегі уақыт сәйкес келмеуі (сертификат «әлі жарамды емес» немесе «мерзімі өткен» көрсетеді).
  • Қате пароль/логин (қате пайдаланушы аты, домен, ескі кэштелген деректер).
  • RADIUS саясаттары сәйкес келмегені (қате топ, VLAN тағайындалмады).
  • Транспорт мәселелері (пакеттер жетпейді, 1812/1813 порттары жабық, shared secret сәйкес емес).
  • EAP қателері (клиент дұрыс әдісті таңдамады немесе TLS нұсқалары үйлеспейді).

EAP бойынша тез тексерулер

EAP-TLS үшін көп жағдайда сенім тізбегі кінәлі: клиент CA-ға сенбейді, аралық сертификат жоқ немесе сервер атын клиент күткендей емес.

PEAP үшін профиль қателері (MSCHAPv2 таңдалған, бірақ сервер басқа конфигурацияда) және TLS келісіміне қатысты мәселелер тән.

Қолдауқа жіберер алдында әдетте жеткілікті ақпарат:

  • freeradius -X режимінен қате жолдары (құпия сөздерді шығармай);
  • құрылғының MAC және тырысқан уақыт;
  • Wi‑Fi/порт атауы және коммутатор/точка IP;
  • қолданылған әдіс (EAP-TLS немесе PEAP) және құрылғы түрі (Windows, iOS, принтер);
  • клиенттегі қате туралы хабар (жеке деректерсіз скриншот).

FAQ

Зачем вообще 802.1X, если не покупать NAC?

Егер сізге «өздеріңді ғана өткізу» деңгейіндегі базалық қолжетімдікті бақылау қажет болса және әртүрлі рөлдерге VLAN тағайындау керек болса, 802.1X + RADIUS көп жағдайда NAC-сыз іске асырылады. Бұл Wi‑Fi және сымды желіге кіргендерді бақылауға және аутентификация журналдарын алуға мүмкіндік береді. Егер талаптар құрылғы күйін тексеруді (антивирус, шифрлау, корпоративті образқа сәйкестігі) және күрделі қонақ порталдарын қажет етсе, онда NAC немесе MDM/EDR сияқты қосымша жүйелер қолданған дұрыс.

Что нужно подготовить перед запуском FreeRADIUS и 802.1X?

Минимум — 802.1X-ті қолдайтын желі жабдығы (коммутаторлар/точкалар), RADIUS-сервер (жиі FreeRADIUS) және пайдаланушылар көзі, мысалы AD/LDAP. EAP-TLS үшін қосымша сертификаттар орталығы (CA) және сертификаттарды беру/жаңарту процесі қажет. Сонымен қатар рөлдер мен сегменттерді алдын ала келісіп алу маңызды: кім қызметкер, кім қонақ, кім мердігер және 802.1X-ті қолдамайтын құрылғыларға не істеу керек.

Как выбрать EAP-метод: EAP-TLS или PEAP?

Басқаратын корпоративтік ПК және ноутбуктар үшін көбіне ең жақсы таңдау — EAP-TLS: парольдер желіде жүрмейді, қолжетімділікті құрылғыға байлауға болады және деректердің өту қаупі азаяды. Аралас ортада жылдам бастау үшін PEAP/MSCHAPv2 жиі қолданылады, бірақ клиенттерде RADIUS серверінің сертификатын міндетті түрде тексерту керек. TEAP кейінгі кезеңде пайдалы болуы мүмкін, егер клиенттер мен жабдық оны сенімді қолдаса.

Как сделать PEAP безопаснее, чтобы не утекли пароли?

Негізгі ереже — клиенттер RADIUS-серверінің сертификатын тексеруі тиіс: сенімді CA және сервердің дұрыс аты. Әдетте бұл қорғанысты айтарлықтай жоғарылатады, өйткені пайдаланушы жасанды серверге пароль бере алмайды. Сонымен қатар PEAP-ті қолдану облыстарын шектеу және біртіндеп басқаратын құрылғыларды EAP-TLS-ке көшіру пайдалы.

Что делать с принтерами и IoT, которые не поддерживают 802.1X?

Егер құрылғы 802.1X-ті қолдамаса немесе сенімді істемесе, әдетте MAB (MAC бойынша тексеру) немесе бөлек порттар арқылы ерекшелік жасайды. Бірақ бұл ерекшелік желінің бүкіл мүмкіндігін бермеуі керек. Практикалық тәсіл — принтерлер/IoT үшін бөлек VLAN және тек қажетті сервистерге ғана (мысалы, баспа сервері немесе мониторинг) рұқсат беру, осылайша аутентификациядағы компромис желіге үлкен тесік жасамайды.

Как организовать гостевой Wi‑Fi, чтобы он не лез во внутреннюю сеть?

Қарапайым: қызметкерлер мен қонақтарды саясаттар мен VLAN арқылы бөлу. Қонақтар «тек интернет» сегментіне түсіп, ішкі подсетьтерге қол жетімді болмауы керек. Бұл бөлу бөлек қонақ SSID-мен де, уақытша есептік жазбалармен де жүзеге асырылуы мүмкін. Маңыздысы — практикада тексеру: қонақ ретінде қосылып, ішкі IP-адрестер мен офис құрылғылары көрінбейтінін растаңыз.

С чего начать пилот 802.1X, чтобы не сорвать работу?

Пилотты кішкентай аймақтан бастаңыз, қайтару оңай болатын жерде: бір қабат, бір бөлім немесе бөлек SSID. Бірнеше типтік құрылғы мен пайдаланушыны таңдап, күтілетін нәтижені алдын ала жазып қойыңыз (мысалы, корпоративтік ноутбук қай VLAN-ға түсуі тиіс). Егер нәтиже сәйкес келмесе, хаотикалық өзгерістер енгізбей, бірінші кезекте FreeRADIUS және коммутатор логтарын тексеріңіз — осылай нақты себеп тез табылады.

Как мигрировать на 802.1X без остановки офиса?

Қозғалуды кезең-кезеңімен жасаңыз: бірінші көріністі жинау мен жұмсақ режим, кейін карантин/қонақ VLAN және соңында enforce режимі. Әр кезең арасында 2–5 жұмыс күнін қалдырыңыз, осылай нақты қай құрылғылар дайын еместігін көресіз. Әрқашан қысқа откат жоспарымен болыңыз: портты немесе SSID-ті бұрынғы күйге бір-екі минутта қайтару мүмкіндігі және критикалық жұмыс орындары үшін төтенше қолжетімділік.

Какие самые частые причины отказов 802.1X и где смотреть?

Көбінесе shared secret немесе RADIUS сұрауының шығу IP-і сәйкес келмейді, 1812/1813 порттары жабылған, саясаттар жарамсыз немесе сертификаттармен және уақытпен байланысты мәселелер бар. EAP-TLS үшін клиент CA-ға сенбейді немесе сервер аты сәйкес келмейді. Диагностика үшін freeradius-ті отладка режиміне қосып, оны коммутатор/контроллер логтарымен салыстырыңыз — көбінде мәселе тізбекте көрінеді.

Что логировать и когда стоит привлечь интегратора?

Логтарда кем дегенде: кім қосылды, қашан, қай порттан немесе SSID-ден, қандай әдіспен және қай VLAN-ға түскені, сондай-ақ Access-Reject себептері болу қажет. Бұл пароль/сертификат мәселесін желілік ақаулардан тез бөліп алуға көмектеседі. Егер шығарылым көптеген сайттар мен коммутаторларды қамтыса, интеграторды қосу орынды: сегментация, RADIUS резерві, мониторинг пен 24/7 қолдау сияқты күрделі шешімдерді олар жүргізе алады. Қазақстанда мұндай жобаларды, мысалы, GSE.kz жүргізеді.