Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
| Následující verze | Předchozí verze Poslední revize Obě strany příští revize | ||
|
cs:spravce:pripojovani:cisco_ise_2 [2017/03/07 08:38] jan.tomasek@cesnet.cz vytvořeno |
cs:spravce:pripojovani:cisco_ise_2 [2020/03/10 14:18] daadb34aac9a15572e511965c60612543564b6fa@einfra.cesnet.cz Cisco bug neobsahuje požadavek na úpravu dead timeru pro externí RADIUS server |
||
|---|---|---|---|
| Řádek 1: | Řádek 1: | ||
| - | ====== Kompatibiltita Cisco ISE 2.1 s eduroam.cz ====== | + | ====== Kompatibiltita Cisco ISE 2.x s eduroam.cz ====== |
| - Podpora RFC 2865 – RADIUS – ANO | - Podpora RFC 2865 – RADIUS – ANO | ||
| Řádek 8: | Řádek 8: | ||
| - Podpora atributů Operator-Name a CUI – ANO (nejprve nutno zadefinovat oba atributy a jejich typy (string) v RADIUS dictionary, což bez problémů lze) | - Podpora atributů Operator-Name a CUI – ANO (nejprve nutno zadefinovat oba atributy a jejich typy (string) v RADIUS dictionary, což bez problémů lze) | ||
| - Podpora RFC 5580 – odesílání atributu Operator-Name v Access-Request – ANO (pokud ermon testuje RADSecProxy a nikoli přímo ISE, nutno vkládat atribut též v RADSecProxy) | - Podpora RFC 5580 – odesílání atributu Operator-Name v Access-Request – ANO (pokud ermon testuje RADSecProxy a nikoli přímo ISE, nutno vkládat atribut též v RADSecProxy) | ||
| - | - Podpora RFC 4372 – CUI – SP: podpora odesílání atributu CUI=NUL v Access Request - NE (atribut lze odesílat, ale jako hodnotu nelze vložit znak „NUL“ – lze vyřešit vkládání atributu s NUL hodnotou na RADSecProxy) | + | - Podpora RFC 4372 – CUI – SP: podpora odesílání atributu CUI=NULL v Access Request - NE (atribut lze odesílat, ale jako hodnotu nelze vložit znak „NULL“ – lze vyřešit vkládání atributu s NULL hodnotou na RADSecProxy) |
| - Podpora RFC 4372 – CUI – SP: podpora logování atributu CUI v přijatém Access-Accept - ČÁSTEČNÁ (hodnota atributu se loguje v rámci autentizačních požadavků, ale nepropisuje se do Accountingových paketů z NAD) | - Podpora RFC 4372 – CUI – SP: podpora logování atributu CUI v přijatém Access-Accept - ČÁSTEČNÁ (hodnota atributu se loguje v rámci autentizačních požadavků, ale nepropisuje se do Accountingových paketů z NAD) | ||
| - Podpora RFC 4372 – CUI – SP: blokování uživatele dle hodnoty CUI - ANO | - Podpora RFC 4372 – CUI – SP: blokování uživatele dle hodnoty CUI - ANO | ||
| - | - Podpora RFC 4372 – CUI – IdP: podpora generování atributu CUI v odeslaných Access-Accept dle eduroam policy – NE (do odeslané Access-Accept zprávy lze vložit atribut CUI, ale pouze s fixní hodnotou resp. s fixní hodnotou atributu uživatele vyčteného z uživatelského backendu) | + | - Podpora RFC 4372 – CUI – IdP: podpora generování atributu CUI v odeslaných Access-Accept dle eduroam policy – ČÁSTEČNÁ (do odeslané Access-Accept zprávy lze vložit atribut CUI, ale pouze s fixní hodnotou resp. s fixní hodnotou atributu uživatele vyčteného z uživatelského backendu - v případě Active Directory lze použít například atribu objectGUID, který se nikdy nemění narozdíl od SID. V autorizačních pravidlech nefunguje regexp match na hodnotu NULL, lze použít například .*) |
| - Podpora RFC 7585 – RADIUS dynamic peer discovery – NE | - Podpora RFC 7585 – RADIUS dynamic peer discovery – NE | ||
| - Vynucení shody vnější a vnitřní identity + anonymous – ANO * (Nelze vynutit shodu vnější a vnitřní identity napřímo, ale lze vynutit, že vnější identita se musí shodovat s hodnotou určitého atributu uživatele vyčteného z uživatelského backendu, kde je tedy nutné mít vnější identitu uloženou) | - Vynucení shody vnější a vnitřní identity + anonymous – ANO * (Nelze vynutit shodu vnější a vnitřní identity napřímo, ale lze vynutit, že vnější identita se musí shodovat s hodnotou určitého atributu uživatele vyčteného z uživatelského backendu, kde je tedy nutné mít vnější identitu uloženou) | ||
| - Zakázáno tunelování vnitřní identity – VCELKA-MAJA – ANO (nelze ovlivnit, dělá nativně z principu) | - Zakázáno tunelování vnitřní identity – VCELKA-MAJA – ANO (nelze ovlivnit, dělá nativně z principu) | ||
| - Podpora RFC 7360 – RADIUS DTLS – ČÁSTEČNÁ (pouze pro komunikaci s NAD, nikoli pro proxy požadavku na externí RADIUS server – jenom pro informaci, možná budoucí náhrada TLS?) | - Podpora RFC 7360 – RADIUS DTLS – ČÁSTEČNÁ (pouze pro komunikaci s NAD, nikoli pro proxy požadavku na externí RADIUS server – jenom pro informaci, možná budoucí náhrada TLS?) | ||
| + | - RADIUS dead timer pro konfigurovaný externí RADIUS server (národní RADIUS server přes radsecproxy) je nastaven natvrdo na 5 minut a nejde konfiguračně změnit, bohužel tedy při provozu dochází k označování národního RADIUS server za "dead" - https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise.html#anc10 | ||
| + | |||
| + | U výrobce byl založen bug na doplnění podpory těchto funkcionalit (vyjma bodu 16): https://quickview.cloudapps.cisco.com/quickview/bug/CSCve00069 | ||
| Přehled zpracoval [[benes@networksys.cz|Ing. Jiří Beneš]] z [[http://www.networksys.cz|Networksys a.s.]] | Přehled zpracoval [[benes@networksys.cz|Ing. Jiří Beneš]] z [[http://www.networksys.cz|Networksys a.s.]] | ||
CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
support@cesnet.cz