====== Kompatibilita Cisco ISE 2.x s eduroam.cz ======

  - Podpora RFC 2865 – RADIUS – ANO
  - Podpora RFC 3580 – EAP – ANO (podporované metody PEAP, EAP-TLS, EAP-TTLS, EAP-FAST)
  - Podporované uživatelské backendy – interní databáze, Active Directory, LDAP, SAML, ODBC – MS SQL Server, Oracle, PostgreSQL, Sybase, od verze ISE 2.2 též MySQL)
  - Podpora RFC 6614 – RADSec – NE (lze řešit použitím RADSecProxy anebo IPsec)
  - Podpora RFC 5997 – Server-Status – NE
  - Podpora atributů Operator-Name a CUI – ANO (nejprve nutno zadefinovat oba atributy a jejich typy (string) v RADIUS dictionary, což bez problémů lze)
  - Podpora RFC 5580 – odesílání atributu Operator-Name v Access-Request – ANO (pokud ermon testuje RADSecProxy a nikoli přímo ISE, nutno vkládat atribut též v RADSecProxy)
  - Podpora RFC 4372 – CUI – SP: podpora odesílání atributu CUI=NULL v Access Request - NE (atribut lze odesílat, ale jako hodnotu nelze vložit znak „NULL“ – lze vyřešit vkládání atributu s NULL hodnotou na RADSecProxy)
  - Podpora RFC 4372 – CUI – SP: podpora logování atributu CUI v přijatém Access-Accept - ČÁSTEČNÁ (hodnota atributu se loguje v rámci autentizačních požadavků, ale nepropisuje se do Accountingových paketů z NAD)
  - Podpora RFC 4372 – CUI – SP: blokování uživatele dle hodnoty CUI - ANO
  - Podpora RFC 4372 – CUI – IdP: podpora generování atributu CUI v odeslaných Access-Accept dle eduroam policy – ČÁSTEČNÁ (do odeslané Access-Accept zprávy lze vložit atribut CUI, ale pouze s fixní hodnotou resp. s fixní hodnotou atributu uživatele vyčteného z uživatelského backendu - v případě Active Directory lze použít například atribu objectGUID, který se nikdy nemění narozdíl od SID. V autorizačních pravidlech nefunguje regexp match na hodnotu NULL, lze použít například .*)
  - Podpora RFC 7585 – RADIUS dynamic peer discovery – NE
  - Vynucení shody vnější a vnitřní identity + anonymous – ANO * (Nelze vynutit shodu vnější a vnitřní identity napřímo, ale lze vynutit, že vnější identita se musí shodovat s hodnotou určitého atributu uživatele vyčteného z uživatelského backendu, kde je tedy nutné mít vnější identitu uloženou)
  - Zakázáno tunelování vnitřní identity – VCELKA-MAJA – ANO (nelze ovlivnit, dělá nativně z principu)
  - Podpora RFC 7360 – RADIUS DTLS – ČÁSTEČNÁ (pouze pro komunikaci s NAD, nikoli pro proxy požadavku na externí RADIUS server – jenom pro informaci, možná budoucí náhrada TLS?)
  - RADIUS dead timer pro konfigurovaný externí RADIUS server (národní RADIUS server přes radsecproxy) je nastaven natvrdo na 5 minut a nejde konfiguračně změnit, bohužel tedy při provozu dochází k označování národního RADIUS server za "dead" - https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise.html#anc10

U výrobce byl založen bug na doplnění podpory těchto funkcionalit (vyjma bodu 16): https://quickview.cloudapps.cisco.com/quickview/bug/CSCve00069

Přehled zpracoval [[benes@networksys.cz|Ing. Jiří Beneš]] z [[http://www.networksys.cz|Networksys a.s.]]