====== Instalace FreeRADIUSu 3 pro eduroam pomocí Ansible ======
Tento návod není udržovaný.
Pro snažší instalaci můžete využít tento návod a instalaci pomocí nástroje Ansible. **Tato metoda je určena pouze pro zkušené uživatele.** Pokud nemáte dostatečné zkušenosti, s tímto postupem pravděpodobně strávíte mnohem více času než s manuální instalací! V případě, že nemáte dostatečné zkušenosti, využijte prosím návod pro manuální instalaci [[cs:spravce:pripojovani:radius:freeradius3|zde]].
**Tento návod je určen výhradně pro distribuci Debian.** V případě, že používáte jinou distribuci, není zaručeno, že instalace bude fungovat správně, proto zvažte, zda pro vás není vhodnější manuální instalace.
===== Prerekvizity =====
* Operační systém Debian (doporučeno použít verzi Jessie nebo vyšší)
* Python
* Ansible (alespon ve verzi 2.2.1)
* Git
* root SSH přístup na server, kde bude FreeRADIUS instalován
* root přístup na stroj, ze kterého bude Ansible spuštěn
Pro veškeré následující vkládané příkazy se předpokládá, že pracujete pod uživatelem root, pokud tomu tak není, v nutných příkazech využijte příkaz sudo.
Prerekvity můžete nainstalovat pomocí příkazu:
apt-get install -y ansible git python
===== Příprava repozitáře =====
Nejprve si připravíme pracovní prostředí. Následující příkazy vložte do terminálu:
cd # prejdeme do domovskeho adresare
mkdir instalace_freeradius
cd instalace_freeradius
git clone https://github.com/CESNET/ansible-freeradius.git roles/freeradius
mkdir -p host_vars group_vars files/certs
cp roles/freeradius/examples/playbook-freeradius.yml .
cp roles/freeradius/examples/inventory.conf .
cp roles/freeradius/examples/ansible.cfg .
cp roles/freeradius/examples/chain_TERENA_SSL_CA_3.pem files/certs/
cp roles/freeradius/examples/chain_CESNET_CA4.pem files/certs/
read -p 'zadejte plne kvalifikovane jmeno (FQDN) vaseho RADIUS serveru: ' radius
Provedeme úpravy repozitáře. Následující příkazy vložte do terminálu:
radius_=$(echo $radius | sed 's/\./_/g')
sed -i "s/vas-radius.realm.cz/$radius/" inventory.conf
echo "${radius_}:" > group_vars/idp_vault.yml
V [[https://admin.eduroam.cz/|administrativní aplikaci]] si dohledejte sdílené heslo pro monitoring. Dále vložte do terminálu následující příkazy:
read -p 'zadejte sdilene heslo pro monitoring: ' ermon
read -p 'zadejte heslo k privatnimu klici pro radsec: ' radsec
===== Příprava certifikátů =====
Do adresáře ''files/certs'' musíte umístit certifikát a privátní klíč pro RadSec spojení mezi vaším a národním RADIUS serverem.
Do terminálu vložte následující příkazy (**je nutné adekvátně upravit zdrojové názvy souborů!**):
cp vas_certifikat.pem files/certs/$radius.crt
cp privatni_klic_k_certifikatu.pem files/certs/$radius.key
Pokud máte k dispozici vlastní správu uživatelů a budete vlastní uživatele ověřovat, budete taktéž potřebovat certifikát a privátní klíč pro EAP. Můžete využít stejný certifikát jako pro RadSec, to je na vás. Pokud využijete jiný certifikát pro EAP, Do terminálu vložte následující příkazy (**je nutné adekvátně upravit zdrojové názvy souborů!**):
cp vas_certifikat.pem files/certs/${radius}_eap.crt
cp privatni_klic_k_certifikatu.pem files/certs/${radius}_eap.key
Dále pokračujte na stránku, která vás provede zbytkem návodu. Stránku si vyberte podle role, která je pro vás adekvátní:
* [[cs:spravce:pripojovani:radius:freeradius_playbook_idpsp|Role IdP + SP]] Tuto roli použijte v případě, že máte vlastní správu uživatelů.
* [[cs:spravce:pripojovani:radius:freeradius_playbook_sp|Role SP]] Tuto roli použijte v případě, že **NEmáte** vlastní správu uživatelů.
* [[cs:spravce:pripojovani:radius:freeradius_playbook_proxy|Role proxy]] Tuto roli použijte v případě, že pouze připojujete další servery do eduroam infrastruktury.