Toto je starší verze dokumentu!
Obvykle internetová doména registrované instituce. Musí být ve veřejném internetu. Domény pod .local
jsou nepřijatelné. Více informací...
Bez vlastního RADIUS serveru se instituce k eduroamu nepřipojí. Při registraci instituce do eduroamu, musí být jméno serveru registrováno ve veřejném DNS.
Dále si prostudujte technické požadavky na RADIUS server. Máte také k dispozici na konfiguraci serveru.
Drtivá většina institucí používá RadSec, což je v podstatě běžné TLS spojení. Protokol je implementován v FreeRADIUSu a nebo v radsecproxy, to druhé je použitelné i jako proxy před MS NPS.
Pokud instituce používá Microsoft NPS může protokol připojení zvolit IPsec. Podrobnosti k nastavení jsou popsány v návodu.
SP - Poskytovatel Služeb - tj. ten kdo vysílá eduroam
IdP - Poskytovatel Identit - tj. ten kdo poskytuje přihlašující údaje do eduroamu
Typicky se instituce zapojují jako IdP+SP. V IROPu je použit režim aktivní (IdP+SP) či pasivní zapojení (SP). Režim pasivního zapojeni (pouze SP) nedoporučujeme.
Technický personál připojované instituce odpovědný za provoz RADIUSu a jeho připojení k eduroamu. Mohou to být i technici firmy která má s připojovanou institucí smlouvu. Kontakty lze v budoucnu libovolně upravovat. Je vhodné jmenovat dvě osoby aby byla zajištěna zástupnost.
Další informace: správci eduroamu
Každá zapojená instituce poskytuje testovací účet pro účely monitoringu.
Na drtivé většině institucí se jedná o ten a samý RADIUS server, tj. obě položky jsou stené.
Jak ukazuje obrázek je možné použít dva různé servery. Fialový server (označený jako radsecproxy) představuje infrastrukturní RADIUS - jím je instituce připojena k národnímu RADIUSu. Šedý server (označený RADIUS) představuje např. MS NPS o vůči kterému jsou autentizováni klienti AP a tamtéž se také dotazuje monitorovací server provozovaný CESNETem.
Pro servery připojené protokolem RadSec se používá: radsec.
Pro servery připojené protokolem IPsec se používá: ipsec.
Sdílené tajemství které používá monitoring.eduroam.cz při komunikaci s RADIUS servery. Typicky se jedná o 15 náhodných znaků.
Doba platnosti SA je pro každou dvojici serverů různá. Důvodem je, aby nedocházelo k expiraci SA ve stejný okamžik, a tím byla dostupnost služby co nejvyšší. Vypočte se podle vztahu:
int((18*60*60 - 11*ip1[3] - 17*ip1[2] - 20*ip1[1] - 19*ip1[0] - 7*ip2[3] - 5*ip2[2] - 3*ip2[1] - 9*ip2[0])/60)
kde:
ip1 - je pole oktetů IP adresy radius serveru organizace, nejvyší byte je v buňce č. 0
ip2 - je pole -„- IP adresy národního RADIUS serveru
Např: pro komunikaci radius1.cesnet.cz ⇔ radius1.eduroam.cz je správná hodnota: int((18*60*60 - 11*226 - 17*144 - 20*113 - 19*195 - 7*22 - 5*187 - 3*113 - 9*195)/60) = 845 min, tedy zhruba 14 hodin.
Po restartu národního RADIUSu je přednostně pro ověřování realmu používán server s nižším číslem. Pokud dojde k výpadkům ověřování na serveru, začne národní RADIUS posílat požadavky na případný druhý server v pořadí. K prvnímu serveru se pak vrátí buď po restartu a nebo po výpadcích druhého serveru. Pokud budou mít všechny servery nastavenou stejnou preferenci, bude národní RADIUS posílat požadavky více méně rovnoměrně mezi všechny.
CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
support@cesnet.cz