cs:spravce:pripojovani:radius:freeradius3

Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

Obě strany předchozí revize Předchozí verze
Následující verze
Předchozí verze
cs:spravce:pripojovani:radius:freeradius3 [2018/06/26 15:58]
semik@cesnet.cz
cs:spravce:pripojovani:radius:freeradius3 [2018/09/21 10:17] (aktuální)
semik@cesnet.cz [Konfigurace RadSecu]
Řádek 172: Řádek 172:
 filter_inner_identity { filter_inner_identity {
 ... ...
-                ​if (&​outer.request:​User-Name =~ /​@([^@]+)$/​) { + if (&​outer.request:​User-Name != &​User-Name) { 
-                        update request { +
-                                Outer-Realm-Name = "​%{1}"​ + #  Get the outer realm. 
-                        }+
 + if (&​outer.request:​User-Name =~ /​@([^@]+)$/​) { 
 + update request { 
 + Outer-Realm-Name = "​%{1}"​ 
 + }
  
-                        ​+
-                        #  When we have an outer realm name, the user portion + #  When we have an outer realm name, the user portion 
-                        #  MUST either be empty, or begin with "​anon"​. + #  MUST either be empty, or begin with "​anon"​. 
-                        +
-                        #  We don't check for the full "​anonymous",​ because + #  We don't check for the full "​anonymous",​ because 
-                        #  some vendors don't follow the standards. + #  some vendors don't follow the standards. 
-                        +
-                         + if (&​outer.request:​User-Name !~ /​^anonymous@/​) { 
-                        # eduroam.cz: What vendors? + update request { 
- + Module-Failure-Message = "​User-Name is not anonymized"​ 
-                        ​if (&​outer.request:​User-Name !~ /​^anonymous@/​) { +
-                                update request { + reject 
-                                        Module-Failure-Message = "​User-Name is not anonymized"​ +
-                                + }
-                                reject +
-                        }+
 ... ...
 </​file>​ </​file>​
Řádek 339: Řádek 341:
 Správným řešením je nasazení patchnuté verze ({{:​cs:​spravce:​pripojovani:​radius:​read-multiple-packet-from-radsec.patch.zip|}}). Správným řešením je nasazení patchnuté verze ({{:​cs:​spravce:​pripojovani:​radius:​read-multiple-packet-from-radsec.patch.zip|}}).
  
-Malé instituce mohou vystačit se snížením [[https://​github.com/​CESNET/​ansible-freeradius/​blob/​master/​templates/​tls.j2#​L49|lifetime]] z nekonečna na 600s v souboru ''​tls.conf''​.+Malé instituce mohou vystačit se snížením [[https://​github.com/​CESNET/​ansible-freeradius/​blob/​master/​templates/​tls.j2#​L49|lifetime]] z nekonečna na 600s v souboru ''​sites-enabled/​tls.conf''​.
  
 **Debian Stretch**: Vyplněný [[https://​bugs.debian.org/​cgi-bin/​bugreport.cgi?​bug=880913|bugreport #880913]], čeká na vydání verze 3.0.16. ​ **Debian Stretch**: Vyplněný [[https://​bugs.debian.org/​cgi-bin/​bugreport.cgi?​bug=880913|bugreport #880913]], čeká na vydání verze 3.0.16. ​
Řádek 348: Řádek 350:
  
 Diskuze v listu [[https://​random.cesnet.cz/​pipermail/​eduroam-admin/​2017-November/​001382.html|eduroam-admin]]. Diskuze v listu [[https://​random.cesnet.cz/​pipermail/​eduroam-admin/​2017-November/​001382.html|eduroam-admin]].
 +
 +=== Bug: inbound RADIUS/TLS connection stalls === 
 +
 +**Nepoužívejte verzi 3.0.17** má chybu [[https://​github.com/​FreeRADIUS/​freeradius-server/​issues/​2270|inbound RADIUS/TLS connection stalls]] projevuje se to hláškami v logu:
 +
 +<​code>​
 +(0) Failed writing 0 bytes to SSL BIO: -1
 +(0) Application data status 4
 +</​code>​
 ==== Přiřazení konkrétní VLAN návštěvníkům ==== ==== Přiřazení konkrétní VLAN návštěvníkům ====
  
Poslední úprava:: 2018/06/26 15:58