Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze Následující verze Obě strany příští revize | ||
cs:spravce:monitoring:end2end_monitoring_new [2019/06/05 11:15] machv@cesnet.cz |
cs:spravce:monitoring:end2end_monitoring_new [2020/02/04 17:43] jan.tomasek@cesnet.cz |
||
---|---|---|---|
Řádek 164: | Řádek 164: | ||
* závisí na navázaném spojení na národní RADIUS server (**IPSEC** nebo **RADSEC**) | * závisí na navázaném spojení na národní RADIUS server (**IPSEC** nebo **RADSEC**) | ||
* závisí na **HOME-REALM-ALIVE** na radius1.cesnet.cz | * závisí na **HOME-REALM-ALIVE** na radius1.cesnet.cz | ||
- | * test se provádí s účtem big-packet@cesnet.cz což je specielní účet s velkým Access-Acceptem. Pokud testovaný server zvládne tento paket doručit na ermon, tak to znamená že je schopen přijmnout (z národního RADIUSu) ale i odeslat (na ermon) fragmentový UDP paket. | + | * test se provádí pomocí [[https://github.com/CESNET/rad_eap_test/blob/master/rad_eap_test|rad_eap_test]] s parametrem ''-f'' který zajistí že Access-Request je větší než 1500B, tj. k fragmentaci UDP paketu. Navíc se testuje s účtem big-test@cesnet.cz s velkým Access-Acceptem který opět zajistí fragmentaci UDP paketu. |
* CRITICAL/WARNING-HARD nastává po **3** neúspěných pokusech | * CRITICAL/WARNING-HARD nastává po **3** neúspěných pokusech | ||
* normální perioda testování je **24 hodin** | * normální perioda testování je **24 hodin** | ||
Řádek 173: | Řádek 173: | ||
* test přeposílání vnitřní EAP identity, více viz [[ | * test přeposílání vnitřní EAP identity, více viz [[ | ||
- | https://random.cesnet.cz/pipermail/eduroam-admin/2008-February/000624.html|email v eduroam-admin listu]], [[ http://archiv.cesnet.cz/doc/techzpravy/2008/incorrect-eap-termination-in-eduroam/|technická zpráva]] | + | https://random.cesnet.cz/mailman/private/eduroam-admin/2008-February/000624.html|email v eduroam-admin listu]], [[ http://archiv.cesnet.cz/doc/techzpravy/2008/incorrect-eap-termination-in-eduroam/|technická zpráva]] |
* závisí na **domácím realmu** | * závisí na **domácím realmu** | ||
* CRITICAL-HARD nastává po **3** neúspěných pokusech | * CRITICAL-HARD nastává po **3** neúspěných pokusech | ||
Řádek 223: | Řádek 223: | ||
* **domácí realm**, tj. jestli na serveru funguje RADIUS (pokud je na serveru více domácích realmů, závisí na všech zároveň) | * **domácí realm**, tj. jestli na serveru funguje RADIUS (pokud je na serveru více domácích realmů, závisí na všech zároveň) | ||
* **domácí server testovaného realmu/testovaný realm**, tj. jestli domácímu serveru příslušnému k tomuto realmu funguje RADIUS | * **domácí server testovaného realmu/testovaný realm**, tj. jestli domácímu serveru příslušnému k tomuto realmu funguje RADIUS | ||
- | * CRITICAL-HARD stav nastává po **3** pokusech, tj. max po 180+120*(3-1)=**420 minutách = 7 hodinách ** od výpadku | + | * CRITICAL-HARD stav nastává po **3** pokusech, tj. max po 6+4*(3-1)=** 14 hodinách ** od výpadku |
- | * normální perioda testování je **180 minut** | + | * normální perioda testování je **6 hodin** |
- | * v případě výpadku se testuje každých **120 minut** | + | * v případě výpadku se testuje každé **4 hodiny** |
* notifikace se **ne**posílají | * notifikace se **ne**posílají | ||
Řádek 257: | Řádek 257: | ||
* Test že IdP vynucuje shodu vnější a vnitřní identity. Jako vnější (anonymní) identita se použije anonXXX@realm.cz a jako vnitřní pak testovací účet organizace. IdP takový požadavek na ověření nesmí vyhodnotit pozitivně. IdP které nepodporuje Chargeable-User-Identity nesmí povolit žádnou anonymní identitu (tj. ani anonymous@realm.cz), viz [[https://www.eduroam.cz/cs/roamingova_politika|Technické požadavky a doporučení pro členy federace eduroam.cz]]. | * Test že IdP vynucuje shodu vnější a vnitřní identity. Jako vnější (anonymní) identita se použije anonXXX@realm.cz a jako vnitřní pak testovací účet organizace. IdP takový požadavek na ověření nesmí vyhodnotit pozitivně. IdP které nepodporuje Chargeable-User-Identity nesmí povolit žádnou anonymní identitu (tj. ani anonymous@realm.cz), viz [[https://www.eduroam.cz/cs/roamingova_politika|Technické požadavky a doporučení pro členy federace eduroam.cz]]. | ||
- | * [[https://random.cesnet.cz/pipermail/eduroam-admin/2016-November/001141.html|více informací]] | + | * [[https://random.cesnet.cz/mailman/private/eduroam-admin/2016-November/001141.html|více informací]] |
* řešení: [[https://www.eduroam.cz/cs/spravce/pripojovani/radius/freeradius2#kontrola_shody_vnejsi_a_vnitrni_eap_identity|FreeRADIUS v2]], [[https://www.eduroam.cz/cs/spravce/pripojovani/radius/freeradius3#kontrola_shody_vnejsi_a_vnitrni_eap_identity|FreeRADIUS v3]] | * řešení: [[https://www.eduroam.cz/cs/spravce/pripojovani/radius/freeradius2#kontrola_shody_vnejsi_a_vnitrni_eap_identity|FreeRADIUS v2]], [[https://www.eduroam.cz/cs/spravce/pripojovani/radius/freeradius3#kontrola_shody_vnejsi_a_vnitrni_eap_identity|FreeRADIUS v3]] | ||
* CRITICAL/WARNING-HARD nastává po **3** neúspěných pokusech | * CRITICAL/WARNING-HARD nastává po **3** neúspěných pokusech | ||
Řádek 297: | Řádek 297: | ||
==== CAT ==== | ==== CAT ==== | ||
- | * test přítomnosti organizace v eduroam CAT | + | * test přítomnosti organizace v eduroam CAT //(přítomnost se konroluje na základě shody anglického názvu na pokryti.eduroam.cz a názvu v eduroam CAT)// |
* stav je OK, pokud je organizace registrována v eduroam CAT, má vyplněný profil a je možné stáhnout instalátory | * stav je OK, pokud je organizace registrována v eduroam CAT, má vyplněný profil a je možné stáhnout instalátory | ||
* pokud je detekován nějaký problém s profilem instituce je stav WARNING | * pokud je detekován nějaký problém s profilem instituce je stav WARNING | ||
Řádek 306: | Řádek 306: | ||
* test certifikátu EAP serveru | * test certifikátu EAP serveru | ||
* pokud je organizace registrována v systému eduroam CAT, provádí se validace certifitikátu proti zadané certifikační autoritě a validují se zadaná DNS jména EAP serverů | * pokud je organizace registrována v systému eduroam CAT, provádí se validace certifitikátu proti zadané certifikační autoritě a validují se zadaná DNS jména EAP serverů | ||
+ | * interval kontroly je stanoven na 2 hodiny | ||
+ | * CRITICAL-HARD stav nastává po **3** pokusech | ||
+ | * informace o změně certifikátu je udržována 1 den od detekce tohoto stavu | ||
* stav je OK, nejsou detekovány žádné problémy s odesílaným certifikátem serveru (platnost, neshodny s CA, nesprávné DNS jméno ...) | * stav je OK, nejsou detekovány žádné problémy s odesílaným certifikátem serveru (platnost, neshodny s CA, nesprávné DNS jméno ...) | ||
* stav je CRITICAL pokud vypršela platnost certifikátu (nebo CA z CATu) nebo nebylo možné certifikát získat | * stav je CRITICAL pokud vypršela platnost certifikátu (nebo CA z CATu) nebo nebylo možné certifikát získat |