Souhrn technických parametrů

Národní RADIUS server

Jméno: radius1.eduroam.cz
Použitá CA: CESNET CA4
Konfigurace: HA o dvou uzlech (aktivní + standby)

WiFi infrastruktura organizace

Je třeba aby:

vysílala essid „eduroam“ - vše malými písmeny
ověřovala uživatele protokolem IEEE 802.1X
používala šifrování WPA2+AES a případně lepší

Server organizace

Je třeba aby:

odpovídal na ICMP echo request z ermon.cesnet.cz. (monitoring)
měl otevřený port UDP/1812 z ermon.cesnet.cz. (monitoring)

používající RadSec

Lze použít NAT, pokud je zajištěn překlad potřebných portů.

FW dále musí mít:

otevřený port TCP/2083 z radius1.eduroam.cz. (RadSec)

Sdílené tajemství RADIUS protokolu je radsec.

používající IPsec

Nezbytností veřejná IPv4 adresa.

FW dále musí mít:

otevřenou komunikaci pro ICMP echo request z radius1.eduroam.cz.
otevřený port UDP/500 z radius1.eduroam.cz. (IPsec)
otevřenou komunikaci pro ESP protokol. (IPsec)
doporučeno reject na portu UDP/4500 z radius1.eduroam.cz. (IPsec)

Sdílené tajemství RADIUS protokolu je unikátní pro každý server a naleznete ho v administrativní aplikaci.

Požadavky na RADIUS server

	4.17	v2	v3	2012 R2	ACS v4.2	ISE 2.1
	Radiator	FreeRADIUS		Microsoft NPS	Cisco
RFC 2865; RADIUS	ANO	ANO	ANO	ANO	ANO	ANO
RFC 3580; EAP	ANO	ANO	ANO	ANO	ANO	ANO
proxy podle realmu v User-Name	ANO	ANO	ANO	ANO	ANO	ANO
filtrování atributů	ANO	ANO	ANO	ANO	ANO	ANO
RFC 6614; RadSec	ANO	NE	ANO	NE	NE	NE
RFC 5997; Server-Status	ANO	???	ANO	NE	NE	NE
Operator-Name	ANO	ANO	ANO	NE	NE	ANO
Chargeable-User-Identity	ANO	ANO	ANO	NE	NE	ANO¹
Zakázáno tunelování vnitřní identity	ANO	ANO	ANO	ANO	ANO	ANO
Vynucení shody vnitřní & vnější identity	ANO	ANO	ANO	ANO	ANO	ANO

eduroam.cz kompatibilita	plná	EoL	plná	částečná	EoL	plná

Vysvětlivky

RFC 2865 - podpora základního RADIUS protokolu

RFC 3580 - podpora protokolu EAP, ověřování uživatelů pomocí IEEE 802.1X. Bez této podpory není RADIUS použitelný k ověřování uživatelů.

proxy podle realmu v User-Name - uživatelé v eduroamu používají uživatelská jména ve tvaru uid@realm.cz. RADIUS server musí být schopen předávat (proxy(ovat)) požadavky které obsahují jiný realm než jeho vlastní na nadřazený server.

filtrování atributů - některé připojené organizace posílají s odpovědí AV páry určující, do jaké VLAN má být uživatel umístěn. Musíte zajistit odstranění těchto AV párů, aby nedošlo k průnikům hostů do těch oblastí Vaší sítě, kam je nechcete pustit. Jedná se především o: Tunnel-Private-Group-ID, Tunnel-Type a Tunnel-Medium-Type. Odpověď obsahující AV pár Tunnel-Private-Group-ID = 1:666 identifkuje testovací účet. Měli byste zajistit, aby takto označené účty nemohly ve Vaší síti získat přístup ke konektivitě. U eduroam je jedna z možností tuto VLAN definovat jako „slepou“.

RFC 6614; RadSec - transport RADIUS protokolu přes TLS spojení

RFC 5997; Server-Status - Schopnost RADIUS serveru hlasit svuj stav a testovat stav partneru pomoci kodu 12 RADIUS protokolu. eduroamu se vyuziva pro lepsi detekci nefunkcnich serveru.

Operator-Name - V Access-Request je v tomto atributu přenášena identifikace navštíveného SP, pokud to RADIUS server neumí, tak tuto informaci doplňuje národní RADIUS. Servery které Operator-Name nepodporují, nesmí být použity pro obsluhu více organizací.

Chargeable-User-Identity - Identifikátr uživatele unikátní pro každé SP. Identifikátor který uživatel nedovede ovlivnit, narozdíl od MAC adresy anebo použitím vnější anonymní identity.

¹ Neumí generovat dynamicky na základě Operator-Name, viz detaily.

eduroam.cz

Postranní lišta

Obsah