Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze Poslední revize Obě strany příští revize | ||
cs:spravce:monitoring:ermon2 [2018/04/06 14:00] jan.tomasek@cesnet.cz [CHARGEABLE-USER-IDENTITY] |
cs:spravce:monitoring:ermon2 [2018/08/03 12:37] machv@cesnet.cz [INSTITUTION-XML] |
||
---|---|---|---|
Řádek 221: | Řádek 221: | ||
??závislosti | ??závislosti | ||
- | :: ( (RADSEC|IPSEC) @ $inf_server) and (PING @ $mon_server) | + | :: (PING @ $mon_server) |
??notifikace | ??notifikace | ||
Řádek 235: | Řádek 235: | ||
Test se provádí pomocí [[https://github.com/CESNET/rad_eap_test|rad_eap_test]], ten závisí na eapol_test z wpa_supplicantu (potřeba přeložit, není v distribuci. Pro zavolání testu je potřeba: IP/hostname, sdílené tajemství, testovací účet (jméno heslo); to vše lze vylovit z LDAPu. | Test se provádí pomocí [[https://github.com/CESNET/rad_eap_test|rad_eap_test]], ten závisí na eapol_test z wpa_supplicantu (potřeba přeložit, není v distribuci. Pro zavolání testu je potřeba: IP/hostname, sdílené tajemství, testovací účet (jméno heslo); to vše lze vylovit z LDAPu. | ||
- | |||
- | TODO: Je třeba zajistit že v se nikdy nepoběží současně dva testy s tím samým uživatelským jménem a CSI (volba -M), do té podmínky patří i různé timeouty. Viz vlákno "Randomizace MAC adresy testu z ermon.cesnet.cz?" v eduroam-admin. | ||
===== Návštěvnické realmy ===== | ===== Návštěvnické realmy ===== | ||
Řádek 374: | Řádek 372: | ||
===== FAKE-UID ===== | ===== FAKE-UID ===== | ||
- | Test jestli domácí RADIUS server vynucuje shodu vnější a vnitřní identity s vyjimkou anonymous@$realm. Testuje se pomocí anonymní identity anonXXXX@$realm a reálného testovacího účtu pro domácí realm. XXXX by mělo být proměnné aby si to některý z adminů nezjednodušil tak že začne zamítat konkrétní účet. Stávající implementace XXXX generuje náhodně při generování statické konfigurace pro nagios. TODO OBA: Zamyslet se jestli by nebylo jednodušší generovat XXXX pokaždé náhodně. | + | Test jestli domácí RADIUS server vynucuje shodu vnější a vnitřní identity s vyjimkou anonymous@$realm. Testuje se pomocí anonymní identity anonXXXX@$realm a reálného testovacího účtu pro domácí realm. XXXX by mělo být proměnné aby si to některý z adminů nezjednodušil tak že začne zamítat konkrétní účet. Stávající implementace XXXX generuje náhodně při generování statické konfigurace pro nagios. |
Test se provádí pomocí ''/usr/local/nagios-plugins/check-fake-id''. | Test se provádí pomocí ''/usr/local/nagios-plugins/check-fake-id''. | ||
Řádek 449: | Řádek 447: | ||
:: 2880min, 180min, 3x | :: 2880min, 180min, 3x | ||
!! | !! | ||
+ | |||
+ | ===== INSTITUTION-XML ===== | ||
+ | |||
+ | dokumentace je na githubu | ||
+ | |||
+ | ??LDAP filter | ||
+ | :: ? | ||
+ | |||
+ | ??závislosti | ||
+ | :: PING @ $server | ||
+ | |||
+ | ??notifikace | ||
+ | :: ANO, 2880min (c,r) | ||
+ | |||
+ | ??RW oprávnění | ||
+ | :: admini serveru | ||
+ | |||
+ | ??frekvence testů [běžný, fail, HARD] | ||
+ | :: 2880min, 180min, 3x | ||
+ | !! | ||
+ | |||
+ | ===== kompromitovany identity ===== | ||
+ | |||
+ | Test hleda uzivatele se jmenem obsahujicim realm, kteri se uspesne overili s jinymi MAC adresami behem 60 sekund v ruznych realmech. | ||
+ | TBD | ||
+ | |||
+ | ===== soubezne se vyskytujici instituce ===== | ||
+ | |||
+ | TBD | ||
+ | Test hleda uzivatele, kteri se uspesne overili se stejnymi mac adresami behem 20 sekund s tim, ze navstivena instituce1 nebo navstivena instituce2 odpovida realmu. | ||
+ | |||
+ | ===== toplevel veci na ermonu ===== | ||
+ | |||
+ | TODO | ||
+ | |||
+ | zachovat? | ||
+ | |||
+ | definovano v /etc/nagios3/ermon-commands.cfg | ||
+ | |||
+ | ====== RADIUSy s povolenym pristupem ====== | ||
+ | |||
+ | @ujop.cuni.cz @lf1.cuni.cz @troja.mff.cuni.cz radius[12].karlov.mff.cuni.cz | ||
+ | |||
+ | ====== Rúzné typy RADIUSu ====== | ||
+ | |||
+ | ??SP & IDP | ||
+ | ::radius1.cesnet.cz | ||
+ | !! | ||
+ | |||
+ | ?? SP & IdP schovaný za proxy | ||
+ | :: edukrvy.kr-vysocina.cz (realm kr-vysocina.cz) | ||
+ | !! | ||
+ | |||
+ | ?? Pouze SP | ||
+ | ::earth.cts.cuni.cz (realm cts.cuni.cz), radsec.eduroom.cesnet.cz (realm eduroom.cesnet.cz) | ||
+ | !! | ||
+ | |||
+ | ?? Pouze SP schovaný za proxy | ||
+ | :: eduroamproxy.ssstavji.cz (realm ssstavji.cz) | ||
+ | !! | ||
+ | |||
+ | ?? Pouze proxy server | ||
+ | ::eduroam.kr-vysocina.cz | ||
+ | !! | ||
+ | |||