cs:spravce:monitoring:ermon2

Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

Obě strany předchozí revize Předchozí verze
Následující verze
Předchozí verze
cs:spravce:monitoring:ermon2 [2018/07/12 14:03]
machv@cesnet.cz
cs:spravce:monitoring:ermon2 [2018/08/15 12:52] (aktuální)
machv@cesnet.cz [Dokumentace k implementaci noveho ermona]
Řádek 3: Řádek 3:
 Většina testů se provádí na hostname RADIUSu. Některý by ale měly lepší smysl dělat na realm / respektive instituci, například to že dodali institution.xml. Většina testů se provádí na hostname RADIUSu. Některý by ale měly lepší smysl dělat na realm / respektive instituci, například to že dodali institution.xml.
  
-TODO: Co s IPv6? Na národním RADIUSu ji nechci protože se pak musí řešit dvoje problém. Jenže server na kterém ermon běží ji má (a chci aby měl). Uhlídáme všecny tooly že komunikují po IPv4 a nebo při vyčítání RADIUSů z LDAPu  
  
-TODO: Řada testů RADSEC, IPSEC, ... používá předání parametrů pomocí nrpe, to je nebezpečné (stačí za parametry dát ; a pak spustí další příkazy). V debianu je nrpe s parametry defautně zakázané, provozujeme nějakou mojí upravenou verzi kde jsem to povolil, chci se tohle zbavit. Má icinga nějaké bezpečnější řešení předávání parametrů? Pokud ano, dokáže to po dobu vývoje nového ermonu koexistovat se stávajícím nrpe na národním RADIUSu? 
  
 ====== Zdroje dat o objektech pro Icingu ====== ====== Zdroje dat o objektech pro Icingu ======
Řádek 235: Řádek 233:
  
 Test se provádí pomocí [[https://​github.com/​CESNET/​rad_eap_test|rad_eap_test]],​ ten závisí na eapol_test z wpa_supplicantu (potřeba přeložit, není v distribuci. Pro zavolání testu je potřeba: IP/​hostname,​ sdílené tajemství, testovací účet (jméno heslo); to vše lze vylovit z LDAPu. Test se provádí pomocí [[https://​github.com/​CESNET/​rad_eap_test|rad_eap_test]],​ ten závisí na eapol_test z wpa_supplicantu (potřeba přeložit, není v distribuci. Pro zavolání testu je potřeba: IP/​hostname,​ sdílené tajemství, testovací účet (jméno heslo); to vše lze vylovit z LDAPu.
- 
-TODO: Je třeba zajistit že v se nikdy nepoběží současně dva testy s tím samým uživatelským jménem a CSI (volba -M), do té podmínky patří i různé timeouty. Viz vlákno "​Randomizace MAC adresy testu z ermon.cesnet.cz?"​ v eduroam-admin. 
  
 ===== Návštěvnické realmy ===== ===== Návštěvnické realmy =====
Řádek 374: Řádek 370:
 ===== FAKE-UID ===== ===== FAKE-UID =====
  
-Test jestli domácí RADIUS server vynucuje shodu vnější a vnitřní identity s vyjimkou anonymous@$realm. Testuje se pomocí anonymní identity anonXXXX@$realm a reálného testovacího účtu pro domácí realm. XXXX by mělo být proměnné aby si to některý z adminů nezjednodušil tak že začne zamítat konkrétní účet. Stávající implementace XXXX generuje náhodně při generování statické konfigurace pro nagios. TODO OBA: Zamyslet se jestli by nebylo jednodušší generovat XXXX pokaždé náhodně.+Test jestli domácí RADIUS server vynucuje shodu vnější a vnitřní identity s vyjimkou anonymous@$realm. Testuje se pomocí anonymní identity anonXXXX@$realm a reálného testovacího účtu pro domácí realm. XXXX by mělo být proměnné aby si to některý z adminů nezjednodušil tak že začne zamítat konkrétní účet. Stávající implementace XXXX generuje náhodně při generování statické konfigurace pro nagios.
  
 Test se provádí pomocí ''/​usr/​local/​nagios-plugins/​check-fake-id''​. Test se provádí pomocí ''/​usr/​local/​nagios-plugins/​check-fake-id''​.
Řádek 452: Řádek 448:
 ===== INSTITUTION-XML ===== ===== INSTITUTION-XML =====
  
-TODO - revize semik+dokumentace je na githubu
  
   ??LDAP filter   ??LDAP filter
Řádek 480: Řádek 476:
 Test hleda uzivatele, kteri se uspesne overili se stejnymi mac adresami behem 20 sekund s tim, ze navstivena instituce1 nebo navstivena instituce2 odpovida realmu. Test hleda uzivatele, kteri se uspesne overili se stejnymi mac adresami behem 20 sekund s tim, ze navstivena instituce1 nebo navstivena instituce2 odpovida realmu.
  
 +===== toplevel veci na ermonu =====
 +
 +TODO
 +
 +zachovat?
 +
 +definovano v /​etc/​nagios3/​ermon-commands.cfg
  
 ====== RADIUSy s povolenym pristupem ====== ====== RADIUSy s povolenym pristupem ======
Poslední úprava:: 2018/07/12 14:03