Obvykle internetová doména registrované instituce. Musí být ve veřejném internetu. Domény pod .local jsou nepřijatelné. Více informací...
Bez vlastního RADIUS serveru se instituce k eduroamu nepřipojí. Při registraci instituce do eduroamu, musí být jméno serveru registrováno ve veřejném DNS.
Dále si prostudujte technické požadavky na RADIUS server. Máte také k dispozici na konfiguraci serveru.
Drtivá většina institucí používá RadSec, což je v podstatě běžné TLS spojení. Protokol je implementován v FreeRADIUSu a nebo v radsecproxy, to druhé je použitelné i jako proxy před MS NPS.
Pokud má instituce na MS NPS veřejnou adresu může použít IPsec. Není možné terminovat IPsec na hraničním prvku instituce, používáme transportní režim.
SP - Poskytovatel Služeb - tj. ten kdo vysílá eduroam
IdP - Poskytovatel Identit - tj. ten kdo poskytuje přihlašující údaje do eduroamu
Typicky se instituce zapojují jako IdP+SP. V IROPu je použit režim aktivní (IdP+SP) a pasivní zapojení (SP), to druhé nedoporučujeme.
Technický personál připojované instituce zodpovědný za provoz RADIUSu a jeho připojení k eduroamu. Mohou to být i technici firmy která má s připojovanou institucí smlouvu. Kontakty lze v budoucnu libovolně upravovat. Je vhodné jmenovat dvě osoby aby byla zajištěna zástupnost.
Další informace: správci eduroamu
Každá zapojená instituce poskytuje testovací účet pro účely end2end monitoringu.
Na drtivé většině institucí se jedná o ten a samý RADIUS server, tj. obě položky jsou stené.
Jak ukazuje obrázek je možné použít dva různé servery. Fialový server (označený jako radsecproxy) představuje infrastrukturní RADIUS - jím je instituce připojena k národnímu RADIUSu. Šedý server (označený RADIUS) představuje např. MS NPS o vůči kterému jsou autentizováni klienti AP a tamtéž se také dotazuje monitorovací server provozovaný CESNETem.
Pro servery připojené protokolem RadSec se používá: radsec.
Pro servery připojené protokolem IPsec se používá: ipsec.
Historicky se můžete setkat i s jinými hodnotami, je ale žádoucí migrovat na výše uvedené defaulty. Nepřepínejte mezi protokoly připojení, nebudete se moci vráti k historickým hodnotám.
Sdílené tajemství které používá ermon.cesnet.cz při komunikaci s RADIUS serverem. Typicky se jedná o 15 náhodných znaků.
Doba platnosti SA je pro každou dvojici serverů různá. Důvodem je, aby nedocházelo k expiraci SA ve stejný okamžik, a tím byla dostupnost služby co nejvyšší. Vypočte se podle vztahu:
int((18*60*60 - 11*ip1[3] - 17*ip1[2] - 20*ip1[1] - 19*ip1[0] - 7*ip2[3] - 5*ip2[2] - 3*ip2[1] - 9*ip2[0])/60)
kde:
ip1 - je pole oktetů IP adresy radius serveru organizace, nejvyší byte je v buňce č. 0
ip2 - je pole -„- IP adresy národního RADIUS serveru
Např: pro komunikaci radius1.cesnet.cz ⇔ radius1.eduroam.cz je správná hodnota: int((18*60*60 - 11*226 - 17*144 - 20*113 - 19*195 - 7*22 - 5*187 - 3*113 - 9*195)/60) = 845 min, tedy zhruba 14 hodin.
Po restartu národního RADIUSu je přednostně pro ověřování realmu používán server s nižším číslem. Pokud dojde k výpadkům ověřování na serveru, začne národní RADIUS posílat požadavky na případný druhý server v pořadí. K prvnímu serveru se pak vrátí buď po restartu a nebo po výpadcích druhého serveru.
CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
support@cesnet.cz
