Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze Následující verze Obě strany příští revize | ||
cs:spravce:pripojovani:radius:freeradius3 [2019/11/18 09:56] jan.tomasek@cesnet.cz uprava odkazu do mailoveho archivu |
cs:spravce:pripojovani:radius:freeradius3 [2020/02/18 11:09] jan.tomasek@cesnet.cz |
||
---|---|---|---|
Řádek 99: | Řádek 99: | ||
V souboru ''/etc/freeradius/mods-available/eap'' nastavte vlastní soubory s certifikáty pro PEAP. Zakomentujte ''ca_file'' a ''ca_path''. Změnte defaultní EAP metodu z MD5 na PEAP, tím přestane FR nabízet MD5 jako první metodu a zabavíte se varování "server is offering unsafe method MD5-Challenge" v monitoringu. | V souboru ''/etc/freeradius/mods-available/eap'' nastavte vlastní soubory s certifikáty pro PEAP. Zakomentujte ''ca_file'' a ''ca_path''. Změnte defaultní EAP metodu z MD5 na PEAP, tím přestane FR nabízet MD5 jako první metodu a zabavíte se varování "server is offering unsafe method MD5-Challenge" v monitoringu. | ||
+ | Dále nastavujeme maximální verzi TLS na 1.2, implemetace TLS 1.3 není pro EAP standartizovaná a v některé kombinace klient-server způsobí selhávání v ověřování. | ||
+ | |||
+ | Zvažte vypnutí TLS < 1.2, předchozí verze protokolu mají známe bezpečnostní chyby. | ||
<file> | <file> | ||
Řádek 115: | Řádek 118: | ||
... | ... | ||
#ca_path = ${cadir} | #ca_path = ${cadir} | ||
+ | | ||
+ | #tls_min_version = "1.2" | ||
+ | tls_max_version = "1.2" | ||
} | } | ||
} | } | ||
Řádek 245: | Řádek 251: | ||
</file> | </file> | ||
- | Upravte soubor ''/etc/freeradius/sites-available/tls'' pro komunikaci mezi naším a národním RADIUS serverem. Pro obě výše zmíněná TCP spojení použijeme stejný certifikát, a proto bude certifikát v souboru zmíněn dvakrát. Poprvé v sekci ''listen'' (příchozí spojení od národního serveru) a podruhé v sekci ''home_server tls''. Na rozdíl od PEAP (zmíně výše) je zde potřeba pro ''ca_file'' uvést soubor [[https://pki.cesnet.cz/certs/chain_CESNET_CA3.pem|chain_CESNET_CA3.pem]], který získáte na adrese [[https://pki.cesnet.cz/cs/ch-cca-crt-crl.html|https://pki.cesnet.cz/]], protože obsahuje veřejné klíče, pomocí kterých bude náš server ověřovat certifikát protistrany (tj. národního RADIUS serveru), který je podepsán právě autoritou CESNET_CA3. | + | Upravte soubor ''/etc/freeradius/sites-available/tls'' pro komunikaci mezi naším a národním RADIUS serverem. Pro obě výše zmíněná TCP spojení použijeme stejný certifikát, a proto bude certifikát v souboru zmíněn dvakrát. Poprvé v sekci ''listen'' (příchozí spojení od národního serveru) a podruhé v sekci ''home_server tls''. Na rozdíl od PEAP (zmíně výše) je zde potřeba pro ''ca_file'' uvést soubor [[https://pki.cesnet.cz/certs/chain_CESNET_CA4.pem|chain_CESNET_CA4.pem]], který získáte na adrese [[https://pki.cesnet.cz/cs/ch-cca-crt-crl.html|https://pki.cesnet.cz/]], protože obsahuje veřejné klíče, pomocí kterých bude náš server ověřovat certifikát protistrany (tj. národního RADIUS serveru), který je podepsán právě autoritou CESNET_CA4. |
Definice cerifikátů pro naslouchání na lokálním portu 2083: | Definice cerifikátů pro naslouchání na lokálním portu 2083: | ||
Řádek 251: | Řádek 257: | ||
<file> | <file> | ||
listen { | listen { | ||
+ | ... | ||
+ | # redukce casteho navazovani a ukoncovani spojeni z/na narodni RADIUS | ||
+ | lifetime = 0 | ||
+ | idle_timeout = 600 | ||
... | ... | ||
tls { | tls { | ||
private_key_file = <soubor_klicem> | private_key_file = <soubor_klicem> | ||
certificate_file = <soubor_s_certifikatem> | certificate_file = <soubor_s_certifikatem> | ||
- | ca_file = ${cadir}/chain_CESNET_CA3.pem | + | ca_file = ${cadir}/chain_CESNET_CA4.pem |
... | ... | ||
} | } | ||
Řádek 265: | Řádek 275: | ||
clients radsec { | clients radsec { | ||
client radius1.eduroam.cz { | client radius1.eduroam.cz { | ||
- | ipaddr = 195.113.187.22 | + | ipaddr = 195.113.187.22 |
- | proto = tls | + | proto = tls |
- | secret = radsec | + | secret = radsec |
+ | |||
+ | # redukce casteho navazovani a ukoncovani spojeni z/na narodni RADIUS | ||
+ | limit { | ||
+ |  max_connections = 16 | ||
+ |  lifetime = 0 | ||
+ |  idle_timeout = 600 | ||
+ |  } | ||
} | } | ||
... | ... | ||
Řádek 293: | Řádek 310: | ||
private_key_file = <soubor_klicem> | private_key_file = <soubor_klicem> | ||
certificate_file = <soubor_s_certifikatem> | certificate_file = <soubor_s_certifikatem> | ||
- | ca_file = ${cadir}/chain_CESNET_CA3.pem | + | ca_file = ${cadir}/chain_CESNET_CA4.pem |
... | ... | ||
} | } |