RADIUS интеграция
Настройка RADIUS-аутентификации через UniFi Identity для корпоративной WiFi-сети (802.1X WPA Enterprise), проводного доступа и динамического назначения VLAN на основе групп пользователей.
Что такое RADIUS
RADIUS (Remote Authentication Dial-In User Service) — это сетевой протокол, обеспечивающий централизованную аутентификацию, авторизацию и учёт (AAA) для пользователей, подключающихся к сетевым сервисам.
Компоненты RADIUS
Supplicant (Клиент)
Устройство пользователя, запрашивающее доступ к сети. Предоставляет учётные данные через EAP-протокол.
- Windows 802.1X Supplicant
- macOS Native Supplicant
- wpa_supplicant (Linux)
- iOS/Android встроенный
NAS (Authenticator)
Сетевое устройство, выступающее посредником между клиентом и RADIUS-сервером. Также называется RADIUS-клиентом.
- UniFi Access Points
- UniFi Switches
- VPN-шлюзы
- Сторонние устройства
RADIUS Server
Сервер аутентификации, проверяющий учётные данные и возвращающий атрибуты авторизации. UniFi Identity выступает в этой роли.
- Аутентификация (AuthN)
- Авторизация (AuthZ)
- Учёт (Accounting)
- VLAN Assignment
Типы RADIUS-пакетов
| Пакет | Код | Направление | Описание |
|---|---|---|---|
Access-Request | 1 | NAS → Server | Запрос на аутентификацию с учётными данными |
Access-Accept | 2 | Server → NAS | Успешная аутентификация + атрибуты |
Access-Reject | 3 | Server → NAS | Отказ в аутентификации |
Access-Challenge | 11 | Server → NAS | Запрос дополнительных данных (MFA) |
Accounting-Request | 4 | NAS → Server | Запись о сессии (Start/Stop/Interim) |
Accounting-Response | 5 | Server → NAS | Подтверждение получения учётных данных |
UniFi Identity как RADIUS-сервер
UniFi Identity предоставляет облачный RADIUS-сервер, интегрированный с вашей базой пользователей. Это позволяет использовать единые учётные записи для WiFi, VPN и других сервисов без развёртывания отдельной инфраструктуры RADIUS.
Включение RADIUS-сервера
Откройте настройки Identity
Перейдите в UniFi Identity → Settings → RADIUS.
Включите RADIUS Server
Активируйте переключатель Enable RADIUS Server. Система сгенерирует уникальный адрес сервера.
RADIUS Server: radius.identity.ui.com Authentication Port: 1812/UDP Accounting Port: 1813/UDP CoA Port: 3799/UDP (Enterprise)
Создайте RADIUS Secret
Сгенерируйте общий секрет для связи между NAS и RADIUS-сервером. Рекомендуется использовать случайную строку минимум 16 символов.
# Linux/macOS openssl rand -base64 32 # Результат (пример) aK7mP9xQ2bN5vR8sT4wY6zC1eF3hJ0uL
Добавьте NAS-клиентов
Зарегистрируйте IP-адреса или подсети устройств, которым разрешено отправлять RADIUS-запросы.
Конфигурация NAS-клиентов
Поддерживаемые методы EAP
EAP-TLS
Аутентификация по сертификатам. Максимальная безопасность.
- Клиентский сертификат обязателен
- Нет паролей в эфире
- Требует PKI-инфраструктуру
PEAP-MSCHAPv2
Защищённый туннель + пароль. Популярный выбор.
- Только серверный сертификат
- Пароль в защищённом туннеле
- Поддержка Windows, macOS, iOS
EAP-TTLS/PAP
TLS-туннель с простой аутентификацией.
- Совместим с LDAP/AD
- Простая настройка
- Требует TLS на сервере
EAP-PWD
Аутентификация по паролю без сертификатов.
- Не требует PKI
- Устойчив к словарным атакам
- Ограниченная поддержка
WiFi-аутентификация 802.1X
802.1X (WPA Enterprise) — стандарт аутентификации, использующий RADIUS для проверки учётных данных перед предоставлением доступа к WiFi-сети. В отличие от WPA-PSK, каждый пользователь имеет индивидуальные учётные данные.
Настройка WiFi-сети в UniFi
Создайте новую WiFi-сеть
В UniFi Network перейдите в Settings → WiFi и нажмите Create New.
Выберите тип безопасности
В разделе Security выберите WPA2/WPA3 Enterprise или WPA3 Enterprise для максимальной безопасности.
Настройте RADIUS Profile
При интеграции с Identity профиль создаётся автоматически. Для внешнего RADIUS укажите параметры вручную.
Authentication Server: IP/Host: radius.identity.ui.com Port: 1812 Secret: [Your RADIUS Secret] Accounting Server (optional): IP/Host: radius.identity.ui.com Port: 1813 Secret: [Your RADIUS Secret] Interim Update Interval: 300 seconds
Дополнительные настройки
- RADIUS MAC Authentication — для IoT-устройств без 802.1X
- Fast Roaming (802.11r) — быстрое переключение между AP
- PMF (802.11w) — защита management frames
- VLAN — можно задать Default VLAN или использовать Dynamic
Настройка клиентов
Windows 10/11
- Откройте Settings → Network & Internet → Wi-Fi
- Нажмите на сеть Corp-Secure
- Введите учётные данные UniFi Identity
- При запросе сертификата выберите Connect (или установите CA)
macOS
- Откройте System Preferences → Network → Wi-Fi
- Выберите сеть Corp-Secure
- Mode: Automatic
- Username: user@company.com
- Password: пароль Identity
- При запросе сертификата нажмите Continue
iOS / iPadOS
- Откройте Settings → Wi-Fi
- Выберите Corp-Secure
- Введите Username и Password
- При появлении предупреждения о сертификате нажмите Trust
Android
- Откройте Settings → Wi-Fi
- Выберите Corp-Secure
- EAP method: PEAP
- Phase 2 authentication: MSCHAPV2
- CA certificate: Use system certificates или Don't validate
- Identity: user@company.com
- Password: пароль
Проводная аутентификация
802.1X также применяется для контроля доступа к проводной сети. Коммутатор блокирует порт до успешной аутентификации пользователя, обеспечивая защиту от несанкционированного подключения.
Настройка 802.1X на UniFi Switch
Создайте RADIUS Profile
В UniFi Network перейдите в Settings → Profiles → RADIUS и создайте профиль с параметрами Identity.
Включите 802.1X на портах
Выберите коммутатор → Port Manager → выберите порты.
Настройте режимы портов
| Режим | Описание | Применение |
|---|---|---|
| Auto | Требует 802.1X, блокирует без аутентификации | Рабочие станции |
| Force Authorized | Всегда разрешён, без аутентификации | Принтеры, серверы |
| Force Unauthorized | Всегда заблокирован | Неиспользуемые порты |
| MAC-based | Аутентификация по MAC-адресу | IoT, принтеры |
Настройка Windows 802.1X Supplicant
# Убедитесь, что сервис Wired AutoConfig запущен # Services → Wired AutoConfig → Start Type: Automatic # Или через PowerShell: Set-Service dot3svc -StartupType Automatic Start-Service dot3svc
Откройте свойства адаптера
Control Panel → Network Connections → Ethernet → Properties → Authentication
Включите IEEE 802.1X
Отметьте Enable IEEE 802.1X authentication и выберите метод Microsoft: Protected EAP (PEAP).
Настройте PEAP
В Settings снимите Verify server's identity by validating certificate (или установите CA-сертификат Identity). Выберите Secured password (EAP-MSCHAPv2).
RADIUS-атрибуты
RADIUS-атрибуты — это пары ключ-значение, передаваемые между NAS и сервером. Они содержат информацию об аутентификации, авторизации и учёте. UniFi Identity поддерживает стандартные и vendor-specific атрибуты.
Стандартные атрибуты (RFC 2865)
| # | Атрибут | Описание | Пример |
|---|---|---|---|
| 1 | User-Name | Имя пользователя | user@company.com |
| 4 | NAS-IP-Address | IP-адрес NAS | 192.168.1.10 |
| 5 | NAS-Port | Порт NAS | 1 (порт коммутатора) |
| 6 | Service-Type | Тип сервиса | Framed (2) |
| 25 | Class | Группа пользователя | OU=IT,DC=company |
| 27 | Session-Timeout | Время сессии (сек) | 28800 (8 часов) |
| 31 | Calling-Station-Id | MAC клиента | AA-BB-CC-DD-EE-FF |
| 32 | NAS-Identifier | Идентификатор NAS | UniFi-AP-Office |
| 64 | Tunnel-Type | Тип туннеля | VLAN (13) |
| 65 | Tunnel-Medium-Type | Тип среды | IEEE-802 (6) |
| 81 | Tunnel-Private-Group-Id | VLAN ID | 10 |
Vendor-Specific Attributes (VSA)
Ubiquiti-User-Groups (1) - Группы пользователя Ubiquiti-VLAN-ID (2) - VLAN для назначения Ubiquiti-Bandwidth-Up (3) - Ограничение upload (Kbps) Ubiquiti-Bandwidth-Down (4) - Ограничение download (Kbps) Ubiquiti-Data-Quota (5) - Квота трафика (MB) Ubiquiti-Access-Time (6) - Время доступа (минуты)
Атрибуты для VLAN Assignment
Для динамического назначения VLAN RADIUS должен вернуть три атрибута в Access-Accept:
Access-Accept
User-Name = "user@company.com"
Tunnel-Type = VLAN (13)
Tunnel-Medium-Type = IEEE-802 (6)
Tunnel-Private-Group-Id = "10" # VLAN ID
Session-Timeout = 28800
Class = "IT-Department"Динамическое назначение VLAN
Dynamic VLAN Assignment позволяет автоматически помещать пользователя в определённый VLAN на основе его группы или атрибутов в Identity. Это ключевая функция для сегментации сети без ручной настройки портов.
- Полный доступ
- Серверная подсеть
- 192.168.10.0/24
- Бухгалтерия
- Изолированный доступ
- 192.168.20.0/24
- Только интернет
- Изоляция от LAN
- 192.168.30.0/24
- Принтеры, камеры
- Ограниченный доступ
- 192.168.100.0/24
Настройка в UniFi Identity
Создайте группы пользователей
В Identity перейдите в Groups и создайте группы, соответствующие вашей структуре VLAN.
Настройте VLAN Mapping
В RADIUS → VLAN Assignment создайте правила сопоставления групп и VLAN.
| Группа | VLAN ID | Приоритет |
|---|---|---|
| IT-Staff | 10 | 1 (высший) |
| Finance-Team | 20 | 2 |
| Guests | 30 | 3 |
| Default (все остальные) | 1 | 99 (низший) |
Проверьте конфигурацию VLAN в Network
Убедитесь, что указанные VLAN существуют в UniFi Network и настроены на коммутаторах как Tagged для Trunk-портов.
MAC Authentication Bypass (MAB)
MAB используется для устройств, не поддерживающих 802.1X (принтеры, IP-телефоны, камеры, IoT). Вместо учётных данных пользователя для аутентификации используется MAC-адрес устройства.
Принтер подключён к порту коммутатора
Нет ответа EAP (30 сек)
RADIUS с MAC как User-Name
Устройство в IoT VLAN
Настройка MAB в Identity
Включите MAC Authentication
В RADIUS → Settings включите MAC Authentication Bypass.
Добавьте устройства
В Devices зарегистрируйте MAC-адреса устройств и назначьте им группу.
| MAC Address | Name | Group | VLAN |
|---|---|---|---|
00:11:22:33:44:55 | HP Printer 1F | Printers | 100 |
aa:bb:cc:dd:ee:ff | IP Phone Reception | VoIP | 50 |
12:34:56:78:9a:bc | Security Camera Lobby | Cameras | 100 |
Настройте порт на коммутаторе
Настройка NAS-устройств
NAS (Network Access Server) — устройство, выполняющее роль RADIUS-клиента. В контексте UniFi это точки доступа, коммутаторы и шлюзы. Для сторонних устройств требуется ручная настройка.
UniFi устройства
При интеграции UniFi Network с Identity настройка RADIUS происходит автоматически. Достаточно выбрать профиль Identity в настройках WiFi или 802.1X порта.
Сторонние устройства
Cisco
! RADIUS Server radius server IDENTITY address ipv4 radius.identity.ui.com auth-port 1812 acct-port 1813 key [shared-secret] ! AAA Configuration aaa new-model aaa authentication dot1x default group radius aaa authorization network default group radius aaa accounting dot1x default start-stop group radius ! Interface Configuration interface GigabitEthernet0/1 switchport mode access authentication port-control auto dot1x pae authenticator mab
HP/Aruba
radius-server host radius.identity.ui.com key [shared-secret] radius-server host radius.identity.ui.com acct-port 1813 aaa port-access authenticator 1-24 aaa port-access authenticator active interface 1 aaa port-access authenticator aaa port-access mac-based
MikroTik
/radius
add address=radius.identity.ui.com secret=[shared-secret] \
service=dot1x,wireless authentication-port=1812 accounting-port=1813
/interface dot1x server
add interface=ether1 auth-types=dot1x,mac-auth interim-update=5m
/interface wireless security-profiles
add name=enterprise mode=dynamic-keys \
authentication-types=wpa2-eap eap-methods=peap \
radius-mac-authentication=yesFortinet
config user radius
edit "Identity-RADIUS"
set server "radius.identity.ui.com"
set secret [shared-secret]
set auth-type auto
set acct-interim-interval 600
next
end
config switch-controller security-policy 802-1X
edit "corp-dot1x"
set security-mode 802.1X
set user-group "Identity-RADIUS"
set mac-auth-bypass enable
set eap-passthru enable
next
endМониторинг RADIUS
UniFi Identity предоставляет инструменты для мониторинга RADIUS-аутентификаций, отслеживания сессий и анализа ошибок.
Дашборд RADIUS
Логи аутентификации
RADIUS Accounting
Accounting позволяет отслеживать сессии пользователей: время подключения, объём переданных данных, продолжительность.
| Пользователь | Начало | Длительность | Upload | Download | NAS |
|---|---|---|---|---|---|
| user@company.com | 14:32:15 | 2ч 15м | 125 MB | 1.2 GB | AP-Office-1F |
| manager@company.com | 09:15:00 | 7ч 32м | 450 MB | 3.8 GB | AP-Executive |
| developer@company.com | 10:00:22 | 6ч 47м | 2.1 GB | 8.5 GB | SW-Dev-Floor |
Устранение неполадок
Распространённые проблемы
Access-Reject: Invalid credentials
- Неверный пароль
- Пользователь заблокирован в Identity
- Пользователь не входит в группу с RADIUS-доступом
- Неверный формат User-Name (ожидается email)
- Проверьте статус пользователя в Identity
- Сбросьте пароль
- Убедитесь в членстве в группе
- Проверьте формат username: user@domain.com
Timeout: No response from RADIUS
- Сетевое соединение с radius.identity.ui.com
- Firewall блокирует UDP 1812/1813
- NAS не зарегистрирован в Identity
- Неверный Shared Secret
- Проверьте DNS-резолвинг:
nslookup radius.identity.ui.com - Откройте UDP 1812, 1813 на firewall
- Добавьте IP NAS в Identity → RADIUS → NAS Clients
- Проверьте Shared Secret (регистрозависимый)
Неверное назначение VLAN
- Пользователь в нескольких группах
- Неверный приоритет правил VLAN
- VLAN не существует на коммутаторе
- Trunk-порт не включает нужный VLAN
- Проверьте членство в группах
- Настройте приоритеты: IT=1, Finance=2, Guest=3
- Создайте VLAN в UniFi Network
- Добавьте VLAN в Trunk порта uplink
Certificate error на клиенте
- CA-сертификат не установлен
- Сертификат RADIUS истёк
- Hostname в сертификате не совпадает
- Установите CA-сертификат Identity
- Или отключите проверку сертификата (не рекомендуется)
- Используйте MDM для автоматического развёртывания
Диагностические команды
# Проверка связи с сервером ping radius.identity.ui.com # Тест RADIUS (Linux с radtest) radtest user@company.com password radius.identity.ui.com 1812 shared-secret # Тест EAP (с eapol_test) eapol_test -c eap-peap.conf -a radius.identity.ui.com -p 1812 -s shared-secret # Проверка открытых портов nc -vzu radius.identity.ui.com 1812 nc -vzu radius.identity.ui.com 1813 # Windows: просмотр событий 802.1X netsh wlan show all netsh lan show profiles
network={
ssid="test"
key_mgmt=WPA-EAP
eap=PEAP
identity="user@company.com"
password="userpassword"
phase2="auth=MSCHAPV2"
# ca_cert="/path/to/ca.pem" # для проверки сертификата
}Сбор логов для поддержки
- Скриншот ошибки на клиенте
- Логи из Identity → RADIUS → Logs с временем ошибки
- Конфигурацию WiFi/802.1X
- MAC-адрес клиента и User-Name
- Результат
radtestилиeapol_test
