Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Následující verze Obě strany příští revize | |||
cs:spravce:pripojovani:cisco_ise_2 [2017/03/07 08:38] jan.tomasek@cesnet.cz vytvořeno |
cs:spravce:pripojovani:cisco_ise_2 [2017/03/16 17:41] benes@cesnet.cz opraveno NUL na NULL, doplněn popis vkládání CUI z AD |
||
---|---|---|---|
Řádek 8: | Řádek 8: | ||
- Podpora atributů Operator-Name a CUI – ANO (nejprve nutno zadefinovat oba atributy a jejich typy (string) v RADIUS dictionary, což bez problémů lze) | - Podpora atributů Operator-Name a CUI – ANO (nejprve nutno zadefinovat oba atributy a jejich typy (string) v RADIUS dictionary, což bez problémů lze) | ||
- Podpora RFC 5580 – odesílání atributu Operator-Name v Access-Request – ANO (pokud ermon testuje RADSecProxy a nikoli přímo ISE, nutno vkládat atribut též v RADSecProxy) | - Podpora RFC 5580 – odesílání atributu Operator-Name v Access-Request – ANO (pokud ermon testuje RADSecProxy a nikoli přímo ISE, nutno vkládat atribut též v RADSecProxy) | ||
- | - Podpora RFC 4372 – CUI – SP: podpora odesílání atributu CUI=NUL v Access Request - NE (atribut lze odesílat, ale jako hodnotu nelze vložit znak „NUL“ – lze vyřešit vkládání atributu s NUL hodnotou na RADSecProxy) | + | - Podpora RFC 4372 – CUI – SP: podpora odesílání atributu CUI=NULL v Access Request - NE (atribut lze odesílat, ale jako hodnotu nelze vložit znak „NULL“ – lze vyřešit vkládání atributu s NULL hodnotou na RADSecProxy) |
- Podpora RFC 4372 – CUI – SP: podpora logování atributu CUI v přijatém Access-Accept - ČÁSTEČNÁ (hodnota atributu se loguje v rámci autentizačních požadavků, ale nepropisuje se do Accountingových paketů z NAD) | - Podpora RFC 4372 – CUI – SP: podpora logování atributu CUI v přijatém Access-Accept - ČÁSTEČNÁ (hodnota atributu se loguje v rámci autentizačních požadavků, ale nepropisuje se do Accountingových paketů z NAD) | ||
- Podpora RFC 4372 – CUI – SP: blokování uživatele dle hodnoty CUI - ANO | - Podpora RFC 4372 – CUI – SP: blokování uživatele dle hodnoty CUI - ANO | ||
- | - Podpora RFC 4372 – CUI – IdP: podpora generování atributu CUI v odeslaných Access-Accept dle eduroam policy – NE (do odeslané Access-Accept zprávy lze vložit atribut CUI, ale pouze s fixní hodnotou resp. s fixní hodnotou atributu uživatele vyčteného z uživatelského backendu) | + | - Podpora RFC 4372 – CUI – IdP: podpora generování atributu CUI v odeslaných Access-Accept dle eduroam policy – ČÁSTEČNÁ (do odeslané Access-Accept zprávy lze vložit atribut CUI, ale pouze s fixní hodnotou resp. s fixní hodnotou atributu uživatele vyčteného z uživatelského backendu - v případě Active Directory lze použít například atribu objectGUID, který se nikdy nemění narozdíl od SID. V autorizačních pravidlech nefunguje regexp match na hodnotu NULL, lze použít například .*) |
- Podpora RFC 7585 – RADIUS dynamic peer discovery – NE | - Podpora RFC 7585 – RADIUS dynamic peer discovery – NE | ||
- Vynucení shody vnější a vnitřní identity + anonymous – ANO * (Nelze vynutit shodu vnější a vnitřní identity napřímo, ale lze vynutit, že vnější identita se musí shodovat s hodnotou určitého atributu uživatele vyčteného z uživatelského backendu, kde je tedy nutné mít vnější identitu uloženou) | - Vynucení shody vnější a vnitřní identity + anonymous – ANO * (Nelze vynutit shodu vnější a vnitřní identity napřímo, ale lze vynutit, že vnější identita se musí shodovat s hodnotou určitého atributu uživatele vyčteného z uživatelského backendu, kde je tedy nutné mít vnější identitu uloženou) |