====== Souhrn technických parametrů ======
===== Národní RADIUS server =====
Jméno: radius1.eduroam.cz\\
Použitá CA: [[https://pki.cesnet.cz/cs/ch-cca-crt-crl.html#cesnet_ca_4|CESNET CA4]]\\
Konfigurace: HA o dvou uzlech (aktivní + standby)
===== WiFi infrastruktura organizace =====
Je třeba aby:
* vysílala essid "eduroam" - vše malými písmeny
* ověřovala uživatele protokolem IEEE 802.1X
* používala šifrování WPA2+AES a případně lepší
===== Server organizace =====
Je třeba aby:
* odpovídal na ICMP echo request z ermon.cesnet.cz. ([[cs:spravce:monitoring:uvod|monitoring]])
* měl otevřený port UDP/1812 z ermon.cesnet.cz. ([[cs:spravce:monitoring:uvod|monitoring]])
==== používající RadSec ====
Lze použít NAT, pokud je zajištěn překlad potřebných portů.
FW dále musí mít:
* otevřený port TCP/2083 z radius1.eduroam.cz. ([[cs:spravce:pripojovani:radsec:uvod|RadSec]])\\
Sdílené tajemství RADIUS protokolu je ''radsec''.
==== používající IPsec ====
Nezbytností veřejná IPv4 adresa.
FW dále musí mít:
* otevřenou komunikaci pro ICMP echo request z radius1.eduroam.cz.
* otevřený port UDP/500 z radius1.eduroam.cz. ([[cs:spravce:pripojovani:ipsec:uvod|IPsec]])\\
* otevřenou komunikaci pro ESP protokol. ([[cs:spravce:pripojovani:ipsec:uvod|IPsec]])\\
* doporučeno reject na portu UDP/4500 z radius1.eduroam.cz. ([[cs:spravce:pripojovani:ipsec:uvod|IPsec]])\\
Sdílené tajemství RADIUS protokolu je unikátní pro každý server a naleznete ho v [[cs:spravce:info#definice_radius_serveru|administrativní aplikaci]].
==== Požadavky na RADIUS server ====
| ^ Radiator ^ FreeRADIUS ^^ Microsoft NPS ^ Cisco ||
|::: ^ 4.17 ^ v2 ^ v3 ^ 2012 R2 ^ ACS v4.2 ^ [[cisco_ise_2|ISE 2.1]] |
^ RFC 2865; RADIUS | **ANO** | **ANO** | **ANO** | **ANO** | **ANO** | **ANO** |
^ RFC 3580; EAP | **ANO** | **ANO** | **ANO** | **ANO** | **ANO** | **ANO** |
^ proxy podle realmu v User-Name | **ANO** | **ANO** | **ANO** | **ANO** | **ANO** | **ANO** |
^ filtrování atributů | **ANO** | **ANO** | **ANO** | **ANO** | **ANO** | **ANO** |
^ RFC 6614; RadSec | **ANO** | **NE** | **ANO** | **NE** | **NE** | **NE** |
^ RFC 5997; Server-Status | **ANO** | ??? | **ANO** | **NE** | **NE** | **NE** |
^ Operator-Name | **ANO** | **ANO** | **ANO** | **NE** | **NE** | **ANO** |
^ Chargeable-User-Identity | **ANO** | **ANO** | **ANO** | **NE** | **NE** | **ANO**1 |
^ Zakázáno tunelování vnitřní identity | **ANO** | **ANO** | **ANO** | **ANO** | **ANO** | **ANO** |
^ Vynucení shody vnitřní & vnější identity | **ANO** | **ANO** | **ANO** | **ANO** | **ANO** | **ANO** |
| | | | |
| eduroam.cz kompatibilita | plná | EoL | plná | částečná | [[https://web.archive.org/web/20151029050557/http://www.cisco.com/c/en/us/products/collateral/security/secure-access-control-server-windows/end_of_life_notice_c51-664639.html|EoL]] | plná |
== Vysvětlivky ==
**[[https://tools.ietf.org/html/rfc2865|RFC 2865]]** - podpora základního RADIUS protokolu
**[[https://tools.ietf.org/html/rfc3580|RFC 3580]]** - podpora protokolu EAP, ověřování uživatelů pomocí IEEE 802.1X. Bez této podpory není RADIUS použitelný k ověřování uživatelů.
**proxy podle realmu v User-Name** - uživatelé v eduroamu používají uživatelská jména ve tvaru uid@realm.cz. RADIUS server musí být schopen předávat (proxy(ovat)) požadavky které obsahují jiný realm než jeho vlastní na nadřazený server.
**filtrování atributů** - některé připojené organizace posílají s odpovědí AV páry určující, do jaké VLAN má být uživatel umístěn. Musíte zajistit odstranění těchto AV párů, aby nedošlo k průnikům hostů do těch oblastí Vaší sítě, kam je nechcete pustit. Jedná se především o: ''Tunnel-Private-Group-ID'', ''Tunnel-Type'' a ''Tunnel-Medium-Type''. Odpověď obsahující AV pár ''Tunnel-Private-Group-ID = 1:666'' identifkuje testovací účet. Měli byste zajistit, aby takto označené účty nemohly ve Vaší síti získat přístup ke konektivitě. U eduroam je jedna z možností tuto VLAN definovat jako "slepou".
**[[https://tools.ietf.org/html/rfc6614|RFC 6614; RadSec]]** - transport RADIUS protokolu přes TLS spojení
**[[https://tools.ietf.org/html/rfc5997|RFC 5997; Server-Status]] ** - Schopnost RADIUS serveru hlasit svuj stav a testovat stav partneru pomoci kodu 12 RADIUS protokolu. eduroamu se vyuziva pro lepsi detekci nefunkcnich serveru.
**Operator-Name** - V Access-Request je v tomto atributu přenášena identifikace navštíveného SP, pokud to RADIUS server neumí, tak tuto informaci doplňuje národní RADIUS. **Servery které Operator-Name nepodporují, nesmí být použity pro obsluhu více organizací.**
**Chargeable-User-Identity** - Identifikátr uživatele unikátní pro každé SP. Identifikátor který uživatel nedovede ovlivnit, narozdíl od MAC adresy anebo použitím vnější anonymní identity.
1 Neumí generovat dynamicky na základě Operator-Name, viz [[cisco_ise_2|detaily]].