cs:spravce:aapk:ref

Referenční nápověda k aplikaci eduroam-admin

Realm

Obvykle internetová doména registrované instituce. Musí být ve veřejném internetu. Domény pod .local jsou nepřijatelné. Více informací...

Jméno RADIUS serveru

Bez vlastního RADIUS serveru se instituce k eduroamu nepřipojí. Při registraci instituce do eduroamu, musí být jméno serveru registrováno ve veřejném DNS.

Dále si prostudujte technické požadavky na RADIUS server. Máte také k dispozici na konfiguraci serveru.

Protokol propojení

Drtivá většina institucí používá RadSec, což je v podstatě běžné TLS spojení. Protokol je implementován v FreeRADIUSu a nebo v radsecproxy, to druhé je použitelné i jako proxy před MS NPS.

Pokud má instituce na MS NPS veřejnou adresu může použít IPsec. Není možné terminovat IPsec na hraničním prvku instituce, používáme transportní režim.

Typ připojení

SP - Poskytovatel Služeb - tj. ten kdo vysílá eduroam

IdP - Poskytovatel Identit - tj. ten kdo poskytuje přihlašující údaje do eduroamu

Typicky se instituce zapojují jako IdP+SP. V IROPu je použit režim aktivní (IdP+SP) a pasivní zapojení (SP), to druhé nedoporučujeme.

Správci

Technický personál připojované instituce zodpovědný za provoz RADIUSu a jeho připojení k eduroamu. Mohou to být i technici firmy která má s připojovanou institucí smlouvu. Kontakty lze v budoucnu libovolně upravovat. Je vhodné jmenovat dvě osoby aby byla zajištěna zástupnost.

Další informace: správci eduroamu

Testovací účet a heslo

Každá zapojená instituce poskytuje testovací účet pro účely end2end monitoringu.

Infrastrukturní vs Monitorované RADIUSy

Na drtivé většině institucí se jedná o ten a samý RADIUS server, tj. obě položky jsou stené.

Jak ukazuje obrázek je možné použít dva různé servery. Fialový server (označený jako radsecproxy) představuje infrastrukturní RADIUS - jím je instituce připojena k národnímu RADIUSu. Šedý server (označený RADIUS) představuje např. MS NPS o vůči kterému jsou autentizovány klienti AP a tamtéž se také dotazuje monitorovací server provozovaný CESNETem.

Sdílené tajemství pro národní RADIUS server

Pro servery připojené protokolem RadSec se používá: radsec.

Pro servery připojené protokolem IPsec se používá: ipsec.

Historicky se můžete setkat i s jinými hodnotami, je ale žádoucí migrovat na výše uvedené defaulty. Nepřepínejte mezi protokoly připojení, nebudete se moci vráti k historickým hodnotám.

Sdílené tajemství pro monitoring

Sdílené tajemství které používá ermon.cesnet.cz při komunikaci s RADIUS serverem. Typicky se jedná o 15 náhodných znaků.

Doba platnosti SA

Doba platnosti SA je pro každou dvojici serverů různá. Důvodem je, aby nedocházelo k expiraci SA ve stejný okamžik, a tím byla dostupnost služby co nejvyšší. Vypočte se podle vztahu:

int((18*60*60 - 11*ip1[3] - 17*ip1[2] - 20*ip1[1] - 19*ip1[0] - 7*ip2[3] - 5*ip2[2] - 3*ip2[1] - 9*ip2[0])/60)

kde:
ip1 - je pole oktetů IP adresy radius serveru organizace, nejvyší byte je v buňce č. 0
ip2 - je pole -„- IP adresy národního RADIUS serveru

Např: pro komunikaci radius1.cesnet.cz ⇔ radius1.eduroam.cz je správná hodnota: int((18*60*60 - 11*226 - 17*144 - 20*113 - 19*195 - 7*22 - 5*187 - 3*113 - 9*195)/60) = 845 min, tedy zhruba 14 hodin.

Preference serveru

Po restartu národního RADIUSu je přednostně pro ověřování realmu používán server s nižším číslem. Pokud dojde k výpadkům ověřování na serveru, začne národní RADIUS posílat požadavky na případný druhý server v pořadí. K prvnímu serveru se pak vrátí buď po restartu a nebo po výpadcích druhého serveru.

Last modified:: 2020/03/24 10:04