Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
| Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze Poslední revize Obě strany příští revize | ||
|
cs:spravce:monitoring:ermon2 [2018/07/12 13:19] machv@cesnet.cz |
cs:spravce:monitoring:ermon2 [2018/08/03 12:37] machv@cesnet.cz [INSTITUTION-XML] |
||
|---|---|---|---|
| Řádek 235: | Řádek 235: | ||
| Test se provádí pomocí [[https://github.com/CESNET/rad_eap_test|rad_eap_test]], ten závisí na eapol_test z wpa_supplicantu (potřeba přeložit, není v distribuci. Pro zavolání testu je potřeba: IP/hostname, sdílené tajemství, testovací účet (jméno heslo); to vše lze vylovit z LDAPu. | Test se provádí pomocí [[https://github.com/CESNET/rad_eap_test|rad_eap_test]], ten závisí na eapol_test z wpa_supplicantu (potřeba přeložit, není v distribuci. Pro zavolání testu je potřeba: IP/hostname, sdílené tajemství, testovací účet (jméno heslo); to vše lze vylovit z LDAPu. | ||
| - | |||
| - | TODO: Je třeba zajistit že v se nikdy nepoběží současně dva testy s tím samým uživatelským jménem a CSI (volba -M), do té podmínky patří i různé timeouty. Viz vlákno "Randomizace MAC adresy testu z ermon.cesnet.cz?" v eduroam-admin. | ||
| ===== Návštěvnické realmy ===== | ===== Návštěvnické realmy ===== | ||
| Řádek 374: | Řádek 372: | ||
| ===== FAKE-UID ===== | ===== FAKE-UID ===== | ||
| - | Test jestli domácí RADIUS server vynucuje shodu vnější a vnitřní identity s vyjimkou anonymous@$realm. Testuje se pomocí anonymní identity anonXXXX@$realm a reálného testovacího účtu pro domácí realm. XXXX by mělo být proměnné aby si to některý z adminů nezjednodušil tak že začne zamítat konkrétní účet. Stávající implementace XXXX generuje náhodně při generování statické konfigurace pro nagios. TODO OBA: Zamyslet se jestli by nebylo jednodušší generovat XXXX pokaždé náhodně. | + | Test jestli domácí RADIUS server vynucuje shodu vnější a vnitřní identity s vyjimkou anonymous@$realm. Testuje se pomocí anonymní identity anonXXXX@$realm a reálného testovacího účtu pro domácí realm. XXXX by mělo být proměnné aby si to některý z adminů nezjednodušil tak že začne zamítat konkrétní účet. Stávající implementace XXXX generuje náhodně při generování statické konfigurace pro nagios. |
| Test se provádí pomocí ''/usr/local/nagios-plugins/check-fake-id''. | Test se provádí pomocí ''/usr/local/nagios-plugins/check-fake-id''. | ||
| Řádek 452: | Řádek 450: | ||
| ===== INSTITUTION-XML ===== | ===== INSTITUTION-XML ===== | ||
| - | TODO - revize semik | + | dokumentace je na githubu |
| ??LDAP filter | ??LDAP filter | ||
| Řádek 472: | Řádek 470: | ||
| ===== kompromitovany identity ===== | ===== kompromitovany identity ===== | ||
| + | Test hleda uzivatele se jmenem obsahujicim realm, kteri se uspesne overili s jinymi MAC adresami behem 60 sekund v ruznych realmech. | ||
| TBD | TBD | ||
| + | ===== soubezne se vyskytujici instituce ===== | ||
| + | |||
| + | TBD | ||
| + | Test hleda uzivatele, kteri se uspesne overili se stejnymi mac adresami behem 20 sekund s tim, ze navstivena instituce1 nebo navstivena instituce2 odpovida realmu. | ||
| + | |||
| + | ===== toplevel veci na ermonu ===== | ||
| + | |||
| + | TODO | ||
| + | |||
| + | zachovat? | ||
| + | |||
| + | definovano v /etc/nagios3/ermon-commands.cfg | ||
| ====== RADIUSy s povolenym pristupem ====== | ====== RADIUSy s povolenym pristupem ====== | ||
CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
support@cesnet.cz