cs:spravce:monitoring:ermon2

Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

Obě strany předchozí revize Předchozí verze
Následující verze
Předchozí verze
cs:spravce:monitoring:ermon2 [2018/04/24 16:41]
semik@cesnet.cz [RADIUSy s povolenym pristupem]
cs:spravce:monitoring:ermon2 [2018/08/15 12:52] (aktuální)
machv@cesnet.cz [Dokumentace k implementaci noveho ermona]
Řádek 3: Řádek 3:
 Většina testů se provádí na hostname RADIUSu. Některý by ale měly lepší smysl dělat na realm / respektive instituci, například to že dodali institution.xml. Většina testů se provádí na hostname RADIUSu. Některý by ale měly lepší smysl dělat na realm / respektive instituci, například to že dodali institution.xml.
  
-TODO: Co s IPv6? Na národním RADIUSu ji nechci protože se pak musí řešit dvoje problém. Jenže server na kterém ermon běží ji má (a chci aby měl). Uhlídáme všecny tooly že komunikují po IPv4 a nebo při vyčítání RADIUSů z LDAPu  
  
-TODO: Řada testů RADSEC, IPSEC, ... používá předání parametrů pomocí nrpe, to je nebezpečné (stačí za parametry dát ; a pak spustí další příkazy). V debianu je nrpe s parametry defautně zakázané, provozujeme nějakou mojí upravenou verzi kde jsem to povolil, chci se tohle zbavit. Má icinga nějaké bezpečnější řešení předávání parametrů? Pokud ano, dokáže to po dobu vývoje nového ermonu koexistovat se stávajícím nrpe na národním RADIUSu? 
  
 ====== Zdroje dat o objektech pro Icingu ====== ====== Zdroje dat o objektech pro Icingu ======
Řádek 221: Řádek 219:
  
   ??​závislosti   ??​závislosti
-:: ( (RADSEC|IPSEC) @ $inf_server) and (PING @ $mon_server)+:: (PING @ $mon_server)
  
   ??​notifikace   ??​notifikace
Řádek 235: Řádek 233:
  
 Test se provádí pomocí [[https://​github.com/​CESNET/​rad_eap_test|rad_eap_test]],​ ten závisí na eapol_test z wpa_supplicantu (potřeba přeložit, není v distribuci. Pro zavolání testu je potřeba: IP/​hostname,​ sdílené tajemství, testovací účet (jméno heslo); to vše lze vylovit z LDAPu. Test se provádí pomocí [[https://​github.com/​CESNET/​rad_eap_test|rad_eap_test]],​ ten závisí na eapol_test z wpa_supplicantu (potřeba přeložit, není v distribuci. Pro zavolání testu je potřeba: IP/​hostname,​ sdílené tajemství, testovací účet (jméno heslo); to vše lze vylovit z LDAPu.
- 
-TODO: Je třeba zajistit že v se nikdy nepoběží současně dva testy s tím samým uživatelským jménem a CSI (volba -M), do té podmínky patří i různé timeouty. Viz vlákno "​Randomizace MAC adresy testu z ermon.cesnet.cz?"​ v eduroam-admin. 
  
 ===== Návštěvnické realmy ===== ===== Návštěvnické realmy =====
Řádek 374: Řádek 370:
 ===== FAKE-UID ===== ===== FAKE-UID =====
  
-Test jestli domácí RADIUS server vynucuje shodu vnější a vnitřní identity s vyjimkou anonymous@$realm. Testuje se pomocí anonymní identity anonXXXX@$realm a reálného testovacího účtu pro domácí realm. XXXX by mělo být proměnné aby si to některý z adminů nezjednodušil tak že začne zamítat konkrétní účet. Stávající implementace XXXX generuje náhodně při generování statické konfigurace pro nagios. TODO OBA: Zamyslet se jestli by nebylo jednodušší generovat XXXX pokaždé náhodně.+Test jestli domácí RADIUS server vynucuje shodu vnější a vnitřní identity s vyjimkou anonymous@$realm. Testuje se pomocí anonymní identity anonXXXX@$realm a reálného testovacího účtu pro domácí realm. XXXX by mělo být proměnné aby si to některý z adminů nezjednodušil tak že začne zamítat konkrétní účet. Stávající implementace XXXX generuje náhodně při generování statické konfigurace pro nagios.
  
 Test se provádí pomocí ''/​usr/​local/​nagios-plugins/​check-fake-id''​. Test se provádí pomocí ''/​usr/​local/​nagios-plugins/​check-fake-id''​.
Řádek 449: Řádek 445:
 :: 2880min, 180min, 3x :: 2880min, 180min, 3x
 !! !!
 +
 +===== INSTITUTION-XML =====
 +
 +dokumentace je na githubu
 +
 +  ??LDAP filter
 +:: ?
 +
 +  ??​závislosti
 +:: PING @ $server
 +
 +  ??​notifikace
 +:: ANO, 2880min (c,r)
 +
 +  ??RW oprávnění
 +:: admini serveru
 +
 +  ??frekvence testů [běžný, fail, HARD]
 +:: 2880min, 180min, 3x
 +!!
 +
 +===== kompromitovany identity =====
 +
 +Test hleda uzivatele se jmenem obsahujicim realm, kteri se uspesne overili s jinymi MAC adresami behem 60 sekund v ruznych realmech.
 +TBD
 +
 +===== soubezne se vyskytujici instituce =====
 +
 +TBD
 +Test hleda uzivatele, kteri se uspesne overili se stejnymi mac adresami behem 20 sekund s tim, ze navstivena instituce1 nebo navstivena instituce2 odpovida realmu.
 +
 +===== toplevel veci na ermonu =====
 +
 +TODO
 +
 +zachovat?
 +
 +definovano v /​etc/​nagios3/​ermon-commands.cfg
  
 ====== RADIUSy s povolenym pristupem ====== ====== RADIUSy s povolenym pristupem ======
  
 @ujop.cuni.cz @lf1.cuni.cz @troja.mff.cuni.cz radius[12].karlov.mff.cuni.cz @ujop.cuni.cz @lf1.cuni.cz @troja.mff.cuni.cz radius[12].karlov.mff.cuni.cz
 +
 +====== Rúzné typy RADIUSu ======
 +
 +  ??SP & IDP
 +  ::​radius1.cesnet.cz
 +!!
 +
 +  ?? SP & IdP schovaný za proxy
 +  :: edukrvy.kr-vysocina.cz (realm kr-vysocina.cz)
 +!!
 +
 +  ?? Pouze SP
 +  ::​earth.cts.cuni.cz (realm cts.cuni.cz),​ radsec.eduroom.cesnet.cz (realm eduroom.cesnet.cz)
 +!!
 +
 +  ?? Pouze SP schovaný za proxy
 +  :: eduroamproxy.ssstavji.cz (realm ssstavji.cz)
 +!!
 +
 +  ?? Pouze proxy server
 +  ::​eduroam.kr-vysocina.cz
 +!!
 +
  
Poslední úprava:: 2018/04/24 16:41