====== Instalace FreeRADIUSu 3 pro eduroam pomocí Ansible ======

<WRAP center round important 60%>
Tento návod není udržovaný.
</WRAP>


Pro snažší instalaci můžete využít tento návod a instalaci pomocí nástroje Ansible. **Tato metoda je určena pouze pro zkušené uživatele.** Pokud nemáte dostatečné zkušenosti, s tímto postupem pravděpodobně strávíte mnohem více času než s manuální instalací! V případě, že nemáte dostatečné zkušenosti, využijte prosím návod pro manuální instalaci [[cs:spravce:pripojovani:radius:freeradius3|zde]].

**Tento návod je určen výhradně pro distribuci Debian.** V případě, že používáte jinou distribuci, není zaručeno, že instalace bude fungovat správně, proto zvažte, zda pro vás není vhodnější manuální instalace.

===== Prerekvizity =====
  * Operační systém Debian (doporučeno použít verzi Jessie nebo vyšší)
  * Python
  * Ansible (alespon ve verzi 2.2.1)
  * Git
  * root SSH přístup na server, kde bude FreeRADIUS instalován
  * root přístup na stroj, ze kterého bude Ansible spuštěn 

Pro veškeré následující vkládané příkazy se předpokládá, že pracujete pod uživatelem root, pokud tomu tak není, v nutných příkazech využijte příkaz sudo. 

Prerekvity můžete nainstalovat pomocí příkazu:
<file>
apt-get install -y ansible git python
</file>

===== Příprava repozitáře =====

Nejprve si připravíme pracovní prostředí. Následující příkazy vložte do terminálu:
<file>
cd # prejdeme do domovskeho adresare
mkdir instalace_freeradius
cd instalace_freeradius
git clone https://github.com/CESNET/ansible-freeradius.git roles/freeradius
mkdir -p host_vars group_vars files/certs
cp roles/freeradius/examples/playbook-freeradius.yml .
cp roles/freeradius/examples/inventory.conf .
cp roles/freeradius/examples/ansible.cfg .
cp roles/freeradius/examples/chain_TERENA_SSL_CA_3.pem files/certs/
cp roles/freeradius/examples/chain_CESNET_CA4.pem files/certs/
read -p 'zadejte plne kvalifikovane jmeno (FQDN) vaseho RADIUS serveru: ' radius
</file>

Provedeme úpravy repozitáře. Následující příkazy vložte do terminálu:
<file>
radius_=$(echo $radius | sed 's/\./_/g')
sed -i "s/vas-radius.realm.cz/$radius/" inventory.conf
echo "${radius_}:" > group_vars/idp_vault.yml
</file>

V [[https://admin.eduroam.cz/|administrativní aplikaci]] si dohledejte sdílené heslo pro monitoring. Dále vložte do terminálu následující příkazy: 
<file>
read -p 'zadejte sdilene heslo pro monitoring: ' ermon 
read -p 'zadejte heslo k privatnimu klici pro radsec: ' radsec 
</file>


===== Příprava certifikátů =====

Do adresáře ''files/certs'' musíte umístit certifikát a privátní klíč pro RadSec spojení mezi vaším a národním RADIUS serverem.
Do terminálu vložte následující příkazy (**je nutné adekvátně upravit zdrojové názvy souborů!**):
<file>
cp vas_certifikat.pem files/certs/$radius.crt
cp privatni_klic_k_certifikatu.pem files/certs/$radius.key
</file>

Pokud máte k dispozici vlastní správu uživatelů a budete vlastní uživatele ověřovat, budete taktéž potřebovat certifikát a privátní klíč pro EAP. Můžete využít stejný certifikát jako pro RadSec, to je na vás. Pokud využijete jiný certifikát pro EAP, Do terminálu vložte následující příkazy (**je nutné adekvátně upravit zdrojové názvy souborů!**): 

<file>
cp vas_certifikat.pem files/certs/${radius}_eap.crt
cp privatni_klic_k_certifikatu.pem files/certs/${radius}_eap.key
</file>

Dále pokračujte na stránku, která vás provede zbytkem návodu. Stránku si vyberte podle role, která je pro vás adekvátní:
  * [[cs:spravce:pripojovani:radius:freeradius_playbook_idpsp|Role IdP + SP]] Tuto roli použijte v případě, že máte vlastní správu uživatelů.
  * [[cs:spravce:pripojovani:radius:freeradius_playbook_sp|Role SP]] Tuto roli použijte v případě, že **NEmáte** vlastní správu uživatelů.
  * [[cs:spravce:pripojovani:radius:freeradius_playbook_proxy|Role proxy]] Tuto roli použijte v případě, že pouze připojujete další servery do eduroam infrastruktury.