Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
| Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze | ||
|
cs:spravce:monitoring:ermon2 [2018/08/02 10:50] machv@cesnet.cz |
cs:spravce:monitoring:ermon2 [2018/08/15 12:52] machv@cesnet.cz [Dokumentace k implementaci noveho ermona] |
||
|---|---|---|---|
| Řádek 3: | Řádek 3: | ||
| Většina testů se provádí na hostname RADIUSu. Některý by ale měly lepší smysl dělat na realm / respektive instituci, například to že dodali institution.xml. | Většina testů se provádí na hostname RADIUSu. Některý by ale měly lepší smysl dělat na realm / respektive instituci, například to že dodali institution.xml. | ||
| - | TODO: Co s IPv6? Na národním RADIUSu ji nechci protože se pak musí řešit dvoje problém. Jenže server na kterém ermon běží ji má (a chci aby měl). Uhlídáme všecny tooly že komunikují po IPv4 a nebo při vyčítání RADIUSů z LDAPu | ||
| - | TODO: Řada testů RADSEC, IPSEC, ... používá předání parametrů pomocí nrpe, to je nebezpečné (stačí za parametry dát ; a pak spustí další příkazy). V debianu je nrpe s parametry defautně zakázané, provozujeme nějakou mojí upravenou verzi kde jsem to povolil, chci se tohle zbavit. Má icinga nějaké bezpečnější řešení předávání parametrů? Pokud ano, dokáže to po dobu vývoje nového ermonu koexistovat se stávajícím nrpe na národním RADIUSu? | ||
| ====== Zdroje dat o objektech pro Icingu ====== | ====== Zdroje dat o objektech pro Icingu ====== | ||
| Řádek 235: | Řádek 233: | ||
| Test se provádí pomocí [[https://github.com/CESNET/rad_eap_test|rad_eap_test]], ten závisí na eapol_test z wpa_supplicantu (potřeba přeložit, není v distribuci. Pro zavolání testu je potřeba: IP/hostname, sdílené tajemství, testovací účet (jméno heslo); to vše lze vylovit z LDAPu. | Test se provádí pomocí [[https://github.com/CESNET/rad_eap_test|rad_eap_test]], ten závisí na eapol_test z wpa_supplicantu (potřeba přeložit, není v distribuci. Pro zavolání testu je potřeba: IP/hostname, sdílené tajemství, testovací účet (jméno heslo); to vše lze vylovit z LDAPu. | ||
| - | |||
| - | TODO: Je třeba zajistit že v se nikdy nepoběží současně dva testy s tím samým uživatelským jménem a CSI (volba -M), do té podmínky patří i různé timeouty. Viz vlákno "Randomizace MAC adresy testu z ermon.cesnet.cz?" v eduroam-admin. | ||
| ===== Návštěvnické realmy ===== | ===== Návštěvnické realmy ===== | ||
| Řádek 374: | Řádek 370: | ||
| ===== FAKE-UID ===== | ===== FAKE-UID ===== | ||
| - | Test jestli domácí RADIUS server vynucuje shodu vnější a vnitřní identity s vyjimkou anonymous@$realm. Testuje se pomocí anonymní identity anonXXXX@$realm a reálného testovacího účtu pro domácí realm. XXXX by mělo být proměnné aby si to některý z adminů nezjednodušil tak že začne zamítat konkrétní účet. Stávající implementace XXXX generuje náhodně při generování statické konfigurace pro nagios. TODO OBA: Zamyslet se jestli by nebylo jednodušší generovat XXXX pokaždé náhodně. | + | Test jestli domácí RADIUS server vynucuje shodu vnější a vnitřní identity s vyjimkou anonymous@$realm. Testuje se pomocí anonymní identity anonXXXX@$realm a reálného testovacího účtu pro domácí realm. XXXX by mělo být proměnné aby si to některý z adminů nezjednodušil tak že začne zamítat konkrétní účet. Stávající implementace XXXX generuje náhodně při generování statické konfigurace pro nagios. |
| Test se provádí pomocí ''/usr/local/nagios-plugins/check-fake-id''. | Test se provádí pomocí ''/usr/local/nagios-plugins/check-fake-id''. | ||
| Řádek 452: | Řádek 448: | ||
| ===== INSTITUTION-XML ===== | ===== INSTITUTION-XML ===== | ||
| - | TODO - revize semik | + | dokumentace je na githubu |
| ??LDAP filter | ??LDAP filter | ||
CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
support@cesnet.cz