| Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze |
| cs:spravce:aapk:uvod [2020/02/15 10:07] – [Chyby] 1141cd825e33f2281fc659232bcf401af2705c39@einfra.cesnet.cz | cs:spravce:aapk:uvod [2024/11/13 11:40] (aktuální) – Jan Čáslavský |
|---|
| ====== eduroam admin aplikace ====== | ====== Administrativní aplikace ====== |
| |
| [[https://admin.eduroam.cz/|Administrativní aplikace]] slouží ke správě organizačních a technických informací o instituci zapojené do eduroamu. Správci dotyčné instituce mohou provádět změny parametrů svého realmu, RADIUS serveru pomocí této aplikace samobslužně. | [[https://admin.eduroam.cz/|Administrativní aplikace]] slouží ke správě organizačních a technických informací o instituci zapojené do eduroamu. Správci dotyčné instituce mohou provádět změny parametrů svého realmu, RADIUS serveru pomocí této aplikace samobslužně. |
| |
| Aplikace umožnuje přihlašování pomocí federace eduID.cz a sociálních identit, před jejich použitím si musíte tyto identity registrovat, postupujte podle stránky [[https://www.eduroam.cz/cs/spravce/migrace-uctu|Migrace účtů správců eduroamu z CESNET CAAS]]. | Aplikace umožnuje [[https://www.eduroam.cz/cs/spravce/migrace-uctu|přihlašování pomocí federace eduID.cz]], mojeID nebo pomocí **sociálních identit** (pro zobrazení dostupných sociálních identit stačí do pole hledání napsat "CESNET"). |
| | |
| | {{:cs:spravce:aapk:registrace-soc.png?200 |}} |
| |
| ===== Úvodní obrazovka ===== | ===== Úvodní obrazovka ===== |
| ===== Úpravy parametrů RADIUS serveru ===== | ===== Úpravy parametrů RADIUS serveru ===== |
| |
| {{:cs:spravce:aapk:radius-server.png?100 |}} Správce RADIUS serveru má oprávnění modifikovat velkou řadu parametrů RADIUS serveru. Neuvážená změna parametrů může mít negativní dopady na funkčnost závislých realmů. | {{:cs:spravce:aapk:radiusserver.png?100 |}} Správce RADIUS serveru má oprávnění modifikovat velkou řadu parametrů RADIUS serveru. Neuvážená změna parametrů může mít negativní dopady na funkčnost závislých realmů. |
| |
| Správce který není současně správcem realmu nemůže efektivně s RADIUS serverem nakládat. Vyvarujte se takových situací. | Správce který není současně správcem realmu nemůže efektivně s RADIUS serverem nakládat. Vyvarujte se takových situací. |
| |
| Sdílená tajemství pro národní RADIUS server byla v minulosti různá. Historicky používal RadSec sdílené tajemství ''mysecret'' později bylo v [[https://tools.ietf.org/html/rfc6614|RFC 6614]] standartizováno používání ''radsec''. Hodnota je zbytečná, ale bohužel na obou koncích musí být stejná. Podobné je to v případě IPSec - používali jsme náhodně generovaný string, zbytečně spojení je šifrováno. Nové instalace používají jen 'ipsec'. Hodnoty sdíleného tajemství pro národní RADIUS jsou závislé na protokolu připojení a administrátor je nemůže měnit. | Hodnota jestli používat nový národní RADIUS souvisí s migrací ze staré infrastruktury na novou infrastrukturu eduroam a týká se pouze připojený organizací. Nově připojující se organizace by měli používat pouze novou infrastrukturu. |
| | |
| | Hodnoty sdíleného tajemství pro národní RADIUS jsou závislé na protokolu připojení a administrátor je nemůže měnit. |
| |
| Pokud deaktivujete všechny RADIUS servery příslušné k realmu odpojíte tento realm od eduroamu. Zamýšlené užití deaktivace RADIUSu serveru je příprava nové instituce k připojení, dočasné vyřazení krátkodobě nefunkčního serveru anebo příprava na trvalé vyřazení. | Pokud deaktivujete všechny RADIUS servery příslušné k realmu odpojíte tento realm od eduroamu. Zamýšlené užití deaktivace RADIUSu serveru je příprava nové instituce k připojení, dočasné vyřazení krátkodobě nefunkčního serveru anebo příprava na trvalé vyřazení. |
| |
| {{:cs:spravce:aapk:realm.png?100 |}} Správce realmu může změnit nekteré základní parametry jako testovací účet anebo přidat či odebrat adminy. Ostatní operace jako smazání realmu, přidání realm aliasu a řadu dalších mohou provést pouze správci federace - požádejte nás emailem [[info@eduroam.cz]]. | {{:cs:spravce:aapk:realm.png?100 |}} Správce realmu může změnit nekteré základní parametry jako testovací účet anebo přidat či odebrat adminy. Ostatní operace jako smazání realmu, přidání realm aliasu a řadu dalších mohou provést pouze správci federace - požádejte nás emailem [[info@eduroam.cz]]. |
| | |
| | ===== Testovací eduroam účet ===== |
| | |
| | {{:cs:spravce:aapk:test-admin_eduroam_cz.png?100 |}} Pro účely testování přístupu k eduroamu v roli návštěvníka má každý správce k dispozici účet v realmu UID@admin.eduroam.cz. UID - uživateslké jméno vám bylo přiděleno a heslo si můžete vygenerovat v administrativní aplikaci po kliknutí na vaše jméno v pravém horním rohu. |
| | |
| |
| ====== Generování konfigurace ====== | ====== Generování konfigurace ====== |
| |
| Konfigurace národního RADIUSu se generuje po každé změně realmu a RADIUS serveru. Aby se předešlo zbytečně častým restartům národního RADIUS serveru, tak k nasazení dojde až 10min po poslední změně konfigurace. Tj. když chvíli po první změně provede někdo jiný jinou změnu - tak tato nová akce pozdrží nasazování první změny. | Konfigurace národního RADIUSu se generuje po každé změně realmu a RADIUS serveru. Nasazování konfigurace dochází automaticky při změně a to každých patnáct minut. |
| |
| Konfigurace monitorovacího serveru se generuje každých 20min, pokud je detekována změna v databázi konfigurací. Po nasazení je občas server nedostupný - opakujte přístup později. | Konfigurace monitorovacího serveru se taktéž generuje každých patnáct minut, pokud je detekována změna v databázi konfigurací. |
| | |
| | Informace o generovaných konfiguracích je dostupná na záložce [[https://admin.eduroam.cz/config_history|historie konfigurací]]. |
| |
| Pokud si zavřete informační okno s odpočtem nasazení konfigurace získáte podobné informace na záložce [[https://admin.eduroam.cz/config_history|historie konfigurací]]. | |
| |
| ====== Správci eduroamu - pozvánky ====== | ====== Správci eduroamu - pozvánky ====== |
| Za ideální považujeme když každý realm a RADIUS server má dva správce kteří jsou schopni se zastoupit. V případě malých institucí to pak může být správce výpočetní techniky + externí technik. | Za ideální považujeme když každý realm a RADIUS server má dva správce kteří jsou schopni se zastoupit. V případě malých institucí to pak může být správce výpočetní techniky + externí technik. |
| |
| Preferujeme osobní emailové adresy. Email použitý pro zaslání pozvánky neslouží k ničemu jinému než právě k doručení pozvánky. Pozvaný správce musí pro přihlášení použít účet v [[https://www.eduid.cz/cs/members|eduID.cz]], [[https://www.mojeid.cz/|mojeID]] anebo sociální identitu (google, facebook, ...) a předpokládáme že se dále zaregistruje s osobní emailovou adresou. | Preferujeme osobní emailové adresy. Email použitý pro zaslání pozvánky neslouží k ničemu jinému než právě k doručení pozvánky. Pozvaný správce musí pro přihlášení použít účet v [[https://www.eduid.cz/cs/members|eduID.cz]], [[https://www.mojeid.cz/|mojeID]] anebo sociální identitu (Google, Apple ...) a předpokládáme že se dále zaregistruje s osobní emailovou adresou. |
| |
| emailová adresa je následně používána v případě výpadku k jeho notifikaci z našeho monitoringu. A také zařazení do listu eduroam-admin - kde je komunita správců schopných si navzájem pomoci, to je také hlavní důvod naší preference osobních kontaktů. | emailová adresa je následně používána v případě výpadku k jeho notifikaci z našeho monitoringu. A také zařazení do listu eduroam-admin - kde je komunita správců schopných si navzájem pomoci, to je také hlavní důvod naší preference osobních kontaktů. |
| |
| ====== Chyby ====== | |
| |
| <del>13. 2. - Nefunguje uložení změn RADIUS serveru pokud tento používá připojení pomocí IPsec.</del> fix nasazen 15. 2. | |
| |
| ====== Referenční nápověda ====== | ====== Referenční nápověda ====== |
| |
| Stránka s přehledem [[:cs:spravce:aapk:ref|referenční]] nápovědy. | Stránka s přehledem [[:cs:spravce:aapk:ref|referenční]] nápovědy. |