Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
| Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze Následující verze Obě strany příští revize | ||
|
cs:spravce:pripojovani:radius:freeradius3 [2019/12/06 11:05] jan.tomasek@cesnet.cz [Konfigurace EAP pro ověřování uživatelů] |
cs:spravce:pripojovani:radius:freeradius3 [2020/03/18 10:27] jan.tomasek@cesnet.cz |
||
|---|---|---|---|
| Řádek 251: | Řádek 251: | ||
| </file> | </file> | ||
| - | Upravte soubor ''/etc/freeradius/sites-available/tls'' pro komunikaci mezi naším a národním RADIUS serverem. Pro obě výše zmíněná TCP spojení použijeme stejný certifikát, a proto bude certifikát v souboru zmíněn dvakrát. Poprvé v sekci ''listen'' (příchozí spojení od národního serveru) a podruhé v sekci ''home_server tls''. Na rozdíl od PEAP (zmíně výše) je zde potřeba pro ''ca_file'' uvést soubor [[https://pki.cesnet.cz/certs/chain_CESNET_CA3.pem|chain_CESNET_CA3.pem]], který získáte na adrese [[https://pki.cesnet.cz/cs/ch-cca-crt-crl.html|https://pki.cesnet.cz/]], protože obsahuje veřejné klíče, pomocí kterých bude náš server ověřovat certifikát protistrany (tj. národního RADIUS serveru), který je podepsán právě autoritou CESNET_CA3. | + | Upravte soubor ''/etc/freeradius/sites-available/tls'' pro komunikaci mezi naším a národním RADIUS serverem. Pro obě výše zmíněná TCP spojení použijeme stejný certifikát, a proto bude certifikát v souboru zmíněn dvakrát. Poprvé v sekci ''listen'' (příchozí spojení od národního serveru) a podruhé v sekci ''home_server tls''. Na rozdíl od PEAP (zmíně výše) je zde potřeba pro ''ca_file'' uvést soubor [[https://pki.cesnet.cz/certs/chain_CESNET_CA4.pem|chain_CESNET_CA4.pem]], který získáte na adrese [[https://pki.cesnet.cz/cs/ch-cca-crt-crl.html|https://pki.cesnet.cz/]], protože obsahuje veřejné klíče, pomocí kterých bude náš server ověřovat certifikát protistrany (tj. národního RADIUS serveru), který je podepsán právě autoritou CESNET_CA4. |
| Definice cerifikátů pro naslouchání na lokálním portu 2083: | Definice cerifikátů pro naslouchání na lokálním portu 2083: | ||
| Řádek 257: | Řádek 257: | ||
| <file> | <file> | ||
| listen { | listen { | ||
| + | ... | ||
| + | # redukce casteho navazovani a ukoncovani spojeni z/na narodni RADIUS | ||
| + | lifetime = 0 | ||
| + | idle_timeout = 600 | ||
| ... | ... | ||
| tls { | tls { | ||
| private_key_file = <soubor_klicem> | private_key_file = <soubor_klicem> | ||
| certificate_file = <soubor_s_certifikatem> | certificate_file = <soubor_s_certifikatem> | ||
| - | ca_file = ${cadir}/chain_CESNET_CA3.pem | + | ca_file = ${cadir}/chain_CESNET_CA4.pem |
| ... | ... | ||
| } | } | ||
| Řádek 271: | Řádek 275: | ||
| clients radsec { | clients radsec { | ||
| client radius1.eduroam.cz { | client radius1.eduroam.cz { | ||
| - | ipaddr = 195.113.187.22 | + | ipaddr = 195.113.187.22 |
| - | proto = tls | + | proto = tls |
| - | secret = radsec | + | secret = radsec |
| - | } | + | |
| + | # redukce casteho navazovani a ukoncovani spojeni z/na narodni RADIUS | ||
| + | limit { | ||
| + | max_connections = 16 | ||
| + | lifetime = 0 | ||
| + | idle_timeout = 600 | ||
| + | } | ||
| + | } | ||
| ... | ... | ||
| } | } | ||
| Řádek 299: | Řádek 310: | ||
| private_key_file = <soubor_klicem> | private_key_file = <soubor_klicem> | ||
| certificate_file = <soubor_s_certifikatem> | certificate_file = <soubor_s_certifikatem> | ||
| - | ca_file = ${cadir}/chain_CESNET_CA3.pem | + | ca_file = ${cadir}/chain_CESNET_CA4.pem |
| ... | ... | ||
| } | } | ||
CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
support@cesnet.cz