Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
| Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze Následující verze Obě strany příští revize | ||
|
cs:spravce:pripojovani:radius:freeradius3 [2019/09/09 09:51] jan.tomasek@cesnet.cz [Konfigurace RadSecu] |
cs:spravce:pripojovani:radius:freeradius3 [2019/12/06 11:05] jan.tomasek@cesnet.cz [Konfigurace EAP pro ověřování uživatelů] |
||
|---|---|---|---|
| Řádek 10: | Řádek 10: | ||
| Buster obsahuje verzi 3.0.17, která trpí [[https://www.eduroam.cz/cs/spravce/pripojovani/radius/freeradius3#buginbound_radiustls_connection_stalls| | Buster obsahuje verzi 3.0.17, která trpí [[https://www.eduroam.cz/cs/spravce/pripojovani/radius/freeradius3#buginbound_radiustls_connection_stalls| | ||
| - | chybou]], nicméně na základě [[https://random.cesnet.cz/pipermail/eduroam-admin/2019-July/002654.html|experimetnů]] se zdá že v Debianu je tato chyba odstraněna. | + | chybou]], nicméně na základě [[https://random.cesnet.cz/mailman/private/eduroam-admin/2019-July/002654.html|experimetnů]] se zdá že v Debianu je tato chyba odstraněna. |
| ==== Stretch ==== | ==== Stretch ==== | ||
| Řádek 99: | Řádek 99: | ||
| V souboru ''/etc/freeradius/mods-available/eap'' nastavte vlastní soubory s certifikáty pro PEAP. Zakomentujte ''ca_file'' a ''ca_path''. Změnte defaultní EAP metodu z MD5 na PEAP, tím přestane FR nabízet MD5 jako první metodu a zabavíte se varování "server is offering unsafe method MD5-Challenge" v monitoringu. | V souboru ''/etc/freeradius/mods-available/eap'' nastavte vlastní soubory s certifikáty pro PEAP. Zakomentujte ''ca_file'' a ''ca_path''. Změnte defaultní EAP metodu z MD5 na PEAP, tím přestane FR nabízet MD5 jako první metodu a zabavíte se varování "server is offering unsafe method MD5-Challenge" v monitoringu. | ||
| + | Dále nastavujeme maximální verzi TLS na 1.2, implemetace TLS 1.3 není pro EAP standartizovaná a v některé kombinace klient-server způsobí selhávání v ověřování. | ||
| + | |||
| + | Zvažte vypnutí TLS < 1.2, předchozí verze protokolu mají známe bezpečnostní chyby. | ||
| <file> | <file> | ||
| Řádek 115: | Řádek 118: | ||
| ... | ... | ||
| #ca_path = ${cadir} | #ca_path = ${cadir} | ||
| + | | ||
| + | #tls_min_version = "1.2" | ||
| + | tls_max_version = "1.2" | ||
| } | } | ||
| } | } | ||
| Řádek 315: | Řádek 321: | ||
| **RHEL**: Vyplněný [[https://bugzilla.redhat.com/show_bug.cgi?id=1630684|bug 1630684]]. Je k dispozici balíček od Petra Vaníčka: 2e4897aabc0cce34f8ad5bda53f974149c08bc3d1ea6c9c8b05c9e59143a0878 [[http://pva.utia.cas.cz/freeradius-3.0.13tlspatch.tar.gz|freeradius-3.0.13tlspatch.tar.gz]] | **RHEL**: Vyplněný [[https://bugzilla.redhat.com/show_bug.cgi?id=1630684|bug 1630684]]. Je k dispozici balíček od Petra Vaníčka: 2e4897aabc0cce34f8ad5bda53f974149c08bc3d1ea6c9c8b05c9e59143a0878 [[http://pva.utia.cas.cz/freeradius-3.0.13tlspatch.tar.gz|freeradius-3.0.13tlspatch.tar.gz]] | ||
| - | Diskuze v listu [[https://random.cesnet.cz/pipermail/eduroam-admin/2017-November/001382.html|eduroam-admin]]. | + | Diskuze v listu [[https://random.cesnet.cz/mailman/private/eduroam-admin/2017-November/001382.html|eduroam-admin]]. |
| === Bug: inbound RADIUS/TLS connection stalls === | === Bug: inbound RADIUS/TLS connection stalls === | ||
| Řádek 326: | Řádek 332: | ||
| </code> | </code> | ||
| - | Na základě [[https://random.cesnet.cz/pipermail/eduroam-admin/2019-July/002654.html|experimetnů]] se zdá že Debian Buster má upravenou verzi, která tímto problémem netrpí. | + | Na základě [[https://random.cesnet.cz/mailman/private/eduroam-admin/2019-July/002654.html|experimetnů]] se zdá že Debian Buster má upravenou verzi, která tímto problémem netrpí. |
| ==== Přiřazení konkrétní VLAN návštěvníkům ==== | ==== Přiřazení konkrétní VLAN návštěvníkům ==== | ||
CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
support@cesnet.cz