FreeRADIUS 3 a přechod ze starého národního RADIUSu na nový
Certifikáty od TCS a eduroam CA neobsahují požadované OID politiky, proto v nové generaci národního RADIUSu nejsou podporovány.
Servery nové generace národního RADIUSu používají certifikáty od eduPKI CA G 01, proto je třeba jí důvěřovat.
Přepnutí na novou generaci
Přepnutí se provádí v administrativní aplikaci, pro každý RADIUS server zvlášť, pomocí volby Používat nový národní RADIUS. Bez přepnutí není například k dispozici připojení pomocí protokolu IPv6.
Záloha konfigurace
Budeme dělat změny v těchto konfiguračních souborech:
- /etc/freeradius/3.0/sites-available/tls
- /etc/freeradius/3.0/sites-available/default
- /etc/freeradius/3.0/proxy.conf
- /etc/freeradius/3.0/clients.conf
Firewall - nové IP adresy
Nový národní RADIUS obsluhují servery na následujících anycastových adresách:
- flr1.eduroam.cz
- IPv4: 78.128.248.10
- IPv6: 2001:718:ff05:aca::1:10
- flr2.eduroam.cz
- IPv4: 78.128.248.11
- IPv6: 2001:718:ff05:aca::1:11
- flr3.eduroam.cz
- IPv4: 78.128.248.12
- IPv6: 2001:718:ff05:aca::1:12
Z nich a na ně se bude komunikovat přes TCP port 2083. Samozřejmě pouze ve zvolené verzi IP protokolu.
Nový monitoring má následující adresy:
- monitoring.eduroam.cz
- IPv4: 78.128.248.234
- IPv6: 2001:718:ff05:10b::234
Monitoring potřebuje mít na vaší straně povolený UDP port 1812 a musí mít možnost se dopingovat!
Změna uznávaných CA pro spojení s národním RADIUSem
Pro RadSec spojení budete nově potřebovat serverový certifikát buď od eduroam CA 2, nebo od eduPKI CA.
Změna CA certifikátů serverů národního RADIUSu
Certifikáty nového národního RADIUSu jsou nově podepsány autoritou eduPKI CA. Proto je potřeba do složky /etc/freeradius/3.0/certs nahrát soubor edupki-root-ca-cert.pem, který získáte na adrese https://www.edupki.org/.
Úprava nastavení pro RadSec
Následující změny se týkají souboru /etc/freeradius/3.0/sites-available/tls.
V sekci listen změníme limit max_connections na 48. Dále pak změnou clients = flr.eduroam.cz nastavíme, že klienty chceme brát nově z této sekce. A nakonec upravíme v podsekci tls cesty k certifikátům.
listen { #pokud budete chtit pro komunikaci s narodnim RADIUSem pouzit IPv6, zmente ipaddr z "*" na "::" ipaddr = * ... clients = flr.eduroam.cz ... limit { max_connections = 48 lifetime = 0 idle_timeout = 600 } ... tls { private_key_file = ${cadir}/radius.key certificate_file = ${cadir}/radius.crt ca_file = ${cadir}/edupki-root-ca-cert.pem ... tls_min_version = "1.2" tls_max_version = "1.3" } }
Nadefinujte klienty národních RADIUS serverů:
... clients flr.eduroam.cz { client flr1.eduroam.cz { ipaddr = 78.128.248.10 #ipaddr = 2001:718:ff05:aca::1:10 proto = tls secret = radsec limit { max_connections = 16 lifetime = 0 idle_timeout = 600 } } client flr2.eduroam.cz { ipaddr = 78.128.248.11 #ipaddr = 2001:718:ff05:aca::1:11 proto = tls secret = radsec limit { max_connections = 16 lifetime = 0 idle_timeout = 600 } } client flr3.eduroam.cz { ipaddr = 78.128.248.12 #ipaddr = 2001:718:ff05:aca::1:12 proto = tls secret = radsec limit { max_connections = 16 lifetime = 0 idle_timeout = 600 } } } ...
Na konci souboru nadefinujte servery národního RADIUSu, na které je možné posílat Access-Requesty návštěvníků.
... home_server flr1.eduroam.cz { ipaddr = 78.128.248.10 #ipaddr = 2001:718:ff05:aca::1:10 port = 2083 type = auth secret = radsec proto = tcp status_check = none tls { private_key_file = ${cadir}/radius.key certificate_file = ${cadir}/radius.crt ca_file = ${cadir}/edupki-root-ca-cert.pem tls_min_version = "1.2" tls_max_version = "1.3" fragment_size = "8192" } } home_server flr2.eduroam.cz { ipaddr = 78.128.248.11 #ipaddr = 2001:718:ff05:aca::1:11 port = 2083 type = auth secret = radsec proto = tcp status_check = none tls { private_key_file = ${cadir}/radius.key certificate_file = ${cadir}/radius.crt ca_file = ${cadir}/edupki-root-ca-cert.pem tls_min_version = "1.2" tls_max_version = "1.3" fragment_size = "8192" } } home_server flr3.eduroam.cz { ipaddr = 78.128.248.12 #ipaddr = 2001:718:ff05:aca::1:12 port = 2083 type = auth secret = radsec proto = tcp status_check = none tls { private_key_file = ${cadir}/radius.key certificate_file = ${cadir}/radius.crt ca_file = ${cadir}/edupki-root-ca-cert.pem tls_min_version = "1.2" tls_max_version = "1.3" fragment_size = "8192" } } home_server_pool flr.eduroam.cz { type = "keyed-balance" home_server = "flr1.eduroam.cz" home_server = "flr2.eduroam.cz" home_server = "flr3.eduroam.cz" }
Nastavení Load-Balance-Key
Možná jste si všimli, že v sekci „home_server_pool flr.eduroam.cz“ v konfiguraci radsecu je definovaná volba „type“ s hodnotou „keyed-balance“. Ta zajistí, že budou požadavky na národní RADIUSy rozkládány mezi všechny jednotlivé servery. K tomu aby tato funkcionalita pracovala správně, je třeba ještě tato úprava v souboru /etc/freeradius/3.0/sites-available/default:
authorize { .. update { control:Load-Balance-Key := &Calling-Station-ID } .. }
Změna předávání požadavků
V souboru /etc/freeradius/3.0/proxy.conf upravíme v sekci realmu pro předávání (v našem návodu je to realm „~.+$“) auth_pool z tls na flr.eduroam.cz. Tím zajistíme, že se budeme dotazovat nových serveů.
... realm "~.+$" { status_check = status-server auth_pool = "flr.eduroam.cz" nostrip }
Lokální testovací klient pro monitorování eduroamu
Přidejte klienta, ze kterého probíhá testování. Do souboru /etc/freeradius/3.0/clients.conf přidejte sekci:
client monitoring.eduroam.cz { ipaddr = 78.128.248.234 #ipaddr = 2001:718:ff05:10b::234 secret = <sdilene_heslo> shortname = monitoring add_cui = no Operator-Name = 1<realm.cz> }