Toto je starší verze dokumentu!
Obvykle internetová doména registrované instituce. Musí být ve veřejném internetu. Domény pod .local
jsou nepřijatelné. Více informací...
Bez vlastního RADIUS serveru se instituce k eduroamu nepřipojí. Při registraci instituce do eduroamu, musí být jméno serveru registrováno ve veřejném DNS.
Dále si prostudujte technické požadavky na RADIUS server. Máte také k dispozici na konfiguraci serveru.
Drtivá většina institucí používá RadSec, což je v podstatě běžné TLS spojení. Protokol je implementován v FreeRADIUSu a nebo v radsecproxy, to druhé je použitelné i jako proxy před MS NPS.
Pokud má instituce na MS NPS veřejnou adresu může použít IPsec. Není možné terminovat IPsec na hraničním prvku instituce, používáme transportní režim.
SP - Poskytovatel Služeb - tj. ten kdo vysílá eduroam
IdP - Poskytovatel Identit - tj. ten kdo poskytuje přihlašující údaje do eduroamu
Typicky se instituce zapojují jako IdP+SP. V IROPu je použit režim aktivní (IdP+SP) a pasivní zapojení (SP), to druhé nedoporučujeme.
Technický personál připojované instituce zodpovědný za provoz RADIUSu a jeho připojení k eduroamu. Mohou to být i technici firmy která má s připojovanou institucí smlouvu. Kontakty lze v budoucnu libovolně upravovat. Je vhodné jmenovat dvě osoby aby byla zajištěna zástupnost.
Další informace: správci eduroamu
Každá zapojená instituce poskytuje testovací účet pro účely end2end monitoringu.
Na drtivé většině institucí se jedná o ten a samý RADIUS server, tj. obě položky jsou stené.
Jak ukazuje obrázek je možné použít dva různé servery. Fialový server (označený jako radsecproxy) představuje infrastrukturní RADIUS - jím je instituce připojena k národnímu RADIUSu. Šedý server (označený RADIUS) představuje např. MS NPS o vůči kterému jsou autentizováni klienti AP a tamtéž se také dotazuje monitorovací server provozovaný CESNETem.
Pro servery připojené protokolem RadSec se používá: radsec.
Pro servery připojené protokolem IPsec se používá: ipsec.
Historicky se můžete setkat i s jinými hodnotami, je ale žádoucí migrovat na výše uvedené defaulty. Nepřepínejte mezi protokoly připojení, nebudete se moci vráti k historickým hodnotám.
Sdílené tajemství které používá ermon.cesnet.cz při komunikaci s RADIUS serverem. Typicky se jedná o 15 náhodných znaků.
Po restartu národního RADIUSu je přednostně pro ověřování realmu používán server s nižším číslem. Pokud dojde k výpadkům ověřování na serveru, začne národní RADIUS posílat požadavky na případný druhý server v pořadí. K prvnímu serveru se pak vrátí buď po restartu a nebo po výpadcích druhého serveru.
CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
support@cesnet.cz