Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze Následující verze Obě strany příští revize | ||
cs:spravce:pripojovani:radius:freeradius3 [2018/03/14 12:18] jan.tomasek@cesnet.cz [Konfigurace Chargeable-User-Identity] |
cs:spravce:pripojovani:radius:freeradius3 [2018/06/26 15:58] jan.tomasek@cesnet.cz |
||
---|---|---|---|
Řádek 339: | Řádek 339: | ||
Správným řešením je nasazení patchnuté verze ({{:cs:spravce:pripojovani:radius:read-multiple-packet-from-radsec.patch.zip|}}). | Správným řešením je nasazení patchnuté verze ({{:cs:spravce:pripojovani:radius:read-multiple-packet-from-radsec.patch.zip|}}). | ||
- | Malé instituce mohou vystačit se snížením [[https://github.com/CESNET/ansible-freeradius/blob/master/templates/tls.j2#L49|lifetime]] z nekonečna na 600s. | + | Malé instituce mohou vystačit se snížením [[https://github.com/CESNET/ansible-freeradius/blob/master/templates/tls.j2#L49|lifetime]] z nekonečna na 600s v souboru ''tls.conf''. |
**Debian Stretch**: Vyplněný [[https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=880913|bugreport #880913]], čeká na vydání verze 3.0.16. | **Debian Stretch**: Vyplněný [[https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=880913|bugreport #880913]], čeká na vydání verze 3.0.16. | ||
Řádek 383: | Řádek 383: | ||
Chargeable-User-Identity (CUI) je vypočítaný atribut, který se počítá jako SHA1 hash z vnitřní EAP identity, hodnoty atributu Operator-Name který posílá SP a soli. Uživatel nedovede hodnotu CUI změnit a tak má SP k dispozici unikátní identitikátor pro případné blokování uživatele. Současně ale SP různých organizací (podle hodnoty Operator-Name) dostávají různé hodnoty CUI pro jednoho uživatele a není tak narušeno soukromí uživatele. | Chargeable-User-Identity (CUI) je vypočítaný atribut, který se počítá jako SHA1 hash z vnitřní EAP identity, hodnoty atributu Operator-Name který posílá SP a soli. Uživatel nedovede hodnotu CUI změnit a tak má SP k dispozici unikátní identitikátor pro případné blokování uživatele. Současně ale SP různých organizací (podle hodnoty Operator-Name) dostávají různé hodnoty CUI pro jednoho uživatele a není tak narušeno soukromí uživatele. | ||
- | V souboru ''policy.d/cui'' zvolte náhodný řetězec ''cui_hash_key'' - pokud provozujete v organizaci víc než jeden RADIUS server, tak musí mít oba shodnout hodnotu tak aby oba vaše RADIUS servery poskytovali pro jednoho uživatele tu samou hodnotu CUI. Dále v tom samém souboru nastavte ''cui_require_operator_name = "yes"'' tím zajistíte že CUI bude váš RADIUS posílat pouze těm SP kteří vyplňují Operator-Name. | + | V souboru ''policy.d/cui'' zvolte náhodný řetězec ''cui_hash_key'' - pokud provozujete v organizaci víc než jeden RADIUS server, tak musí mít oba shodnout hodnotu tak aby oba vaše RADIUS servery poskytovali pro jednoho uživatele tu samou hodnotu CUI. Dále v tom samém souboru nastavte ''cui_require_operator_name = yes'', tím zajistíte že CUI bude váš RADIUS posílat pouze těm SP, kteří vyplňují Operator-Name. |
Aktivujte modul CUI: | Aktivujte modul CUI: | ||
Řádek 556: | Řádek 556: | ||
</file> | </file> | ||
- | Vždy uveďte znak ''1'' před vaším realmem, více informací viz [[https://tools.ietf.org/html/rfc5580#page-12|RFC5580]]. | + | Vždy uveďte znak ''1'' před vaším realmem, více informací viz [[https://tools.ietf.org/html/rfc5580#page-12|RFC5580]]. Uvádějte váš realm, ermon simuluje další z AP ve vaší WiFi síti. |
Správce instituce získá ''sdilene_heslo'' po přihlášení do [[https://caas2.cesnet.cz/caas/hradmin|CAAS:hradmin]] vyhledáním svého RADIUS serveru. | Správce instituce získá ''sdilene_heslo'' po přihlášení do [[https://caas2.cesnet.cz/caas/hradmin|CAAS:hradmin]] vyhledáním svého RADIUS serveru. |