Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revize Předchozí verze | Následující verze Obě strany příští revize | ||
cs:spravce:pripojovani:radius:freeradius3 [2019/11/18 09:56] jan.tomasek@cesnet.cz uprava odkazu do mailoveho archivu |
cs:spravce:pripojovani:radius:freeradius3 [2019/12/06 11:05] jan.tomasek@cesnet.cz [Konfigurace EAP pro ověřování uživatelů] |
||
---|---|---|---|
Řádek 99: | Řádek 99: | ||
V souboru ''/etc/freeradius/mods-available/eap'' nastavte vlastní soubory s certifikáty pro PEAP. Zakomentujte ''ca_file'' a ''ca_path''. Změnte defaultní EAP metodu z MD5 na PEAP, tím přestane FR nabízet MD5 jako první metodu a zabavíte se varování "server is offering unsafe method MD5-Challenge" v monitoringu. | V souboru ''/etc/freeradius/mods-available/eap'' nastavte vlastní soubory s certifikáty pro PEAP. Zakomentujte ''ca_file'' a ''ca_path''. Změnte defaultní EAP metodu z MD5 na PEAP, tím přestane FR nabízet MD5 jako první metodu a zabavíte se varování "server is offering unsafe method MD5-Challenge" v monitoringu. | ||
+ | Dále nastavujeme maximální verzi TLS na 1.2, implemetace TLS 1.3 není pro EAP standartizovaná a v některé kombinace klient-server způsobí selhávání v ověřování. | ||
+ | |||
+ | Zvažte vypnutí TLS < 1.2, předchozí verze protokolu mají známe bezpečnostní chyby. | ||
<file> | <file> | ||
Řádek 115: | Řádek 118: | ||
... | ... | ||
#ca_path = ${cadir} | #ca_path = ${cadir} | ||
+ | | ||
+ | #tls_min_version = "1.2" | ||
+ | tls_max_version = "1.2" | ||
} | } | ||
} | } |