cs:spravce:pripojovani:radius:freeradius_playbook

Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

Obě strany předchozí revize Předchozí verze
Následující verze Obě strany příští revize
cs:spravce:pripojovani:radius:freeradius_playbook [2017/11/08 14:23]
machv@cesnet.cz
cs:spravce:pripojovani:radius:freeradius_playbook [2017/11/08 14:39]
machv@cesnet.cz
Řádek 72: Řádek 72:
   * Role proxy Tuto roli použijte v případě, že pouze připojujete další serveru do eduroam infrastruktury.   * Role proxy Tuto roli použijte v případě, že pouze připojujete další serveru do eduroam infrastruktury.
  
- 
- 
-===== Role IdP + SP ===== 
- 
-Tato role představuje realm v tom smyslu, že: 
-  * ověřuje vlastní uživatele (IdP - Identity provider) 
-  * poskytuje službu (SP - Service provider) 
- 
-Tuto roli použijte v případě, že máte vlastní správu uživatelů. 
- 
-Vložte do terminálu následující příkazy: ​ 
-<​file>​ 
-read -p '​zadejte heslo pro ldap: ' ldap  
-read -p '​zadejte heslo k privatnimu klici pro eap: ' eap  
-</​file>​ 
- 
-Dále vložte do terminálu následující příkazy: 
-<​file>​ 
-echo " ​ ermon_secret:​ $ermon"​ >> group_vars/​idp_vault.yml 
-echo " ​ ldap_passwd:​ $ldap" >> group_vars/​idp_vault.yml 
-echo " ​ radsec_key_password:​ $radsec"​ >> group_vars/​idp_vault.yml 
-echo " ​ eap_key_password:​ $eap" >> group_vars/​idp_vault.yml 
-cp roles/​freeradius/​examples/​semik-dev.cesnet.cz-IdPSP.yml host_vars/​$radius.yml 
-</​file>​ 
- 
-Pokud používáte pro RadSec i EAP stejný certifikát,​ vložte následující příkazy: 
-<​file>​ 
-sed -i "/​semik2-dev.cesnet.cz/​d"​ host_vars/​$radius.yml 
-sed -i "​s/​semik-dev.cesnet.cz/​$radius/"​ host_vars/​$radius.yml 
-sed -i "​s/​semik_dev_cesnet_cz/​$radius_/"​ host_vars/​$radius.yml 
-</​file>​ 
- 
-Pokud používáte pro RadSec a EAP **jiný** certifikát,​ vložte následující příkazy: 
-<​file>​ 
-sed -i "/​semik2-dev.cesnet.cz/​d"​ host_vars/​$radius.yml 
-sed -i ':​a;​$!{N;​ba};​s/​certificate:​ files\/​certs\/​semik-dev.cesnet.cz.crt/​certificate:​ files\/​certs\/'"​${radius}_eap.crt"'/​2'​ host_vars/​$radius.yml 
-sed -i ':​a;​$!{N;​ba};​s/​certificate:​ files\/​certs\/​semik-dev.cesnet.cz.key/​certificate:​ files\/​certs\/'"​${radius}_eap.key"'/​2'​ host_vars/​$radius.yml 
-</​file>​ 
- 
-==== Úprava LDAPu ==== 
- 
-Definici vašeho LDAP serveru musíte uvést do souboru ''​host_vars/​$radius.yml''​. Otevřete soubor v textovém editoru a upravte hodnotu hodnotu klíče ''​URL''​. 
- 
-Pokud chcete použít zabezpečené spojení, taktéž musíte adekvátně specifikovat hodnotu klíče ''​CAChain''​. 
- 
-Konkrétní DN, kam se bude hlásit daný uživatel použitý pro ověřování požadavků specifikujte v klíči ''​bindDN''​. 
- 
-Část stromu, ve které jsou umístěni uživatelé a bude v ní probíhat vyhledávání specifikujte v klíči ''​peopleDN''​. 
- 
-LDAP Atribut, ve kterém je uvedeno uživatelské heslo pro eduroam specifikujte v klíči ''​eduroamPassword'' ​ 
- 
-TODO - peopleSubSearch:​ - neni v playbooku pouzito 
-TODO - uid: - neni v playbooku pouzito 
-==== Více realmů ==== 
- 
-TODO 
- 
-==== Definice AP ==== 
- 
-Dále je třeba doplnit konfiguraci přístupových bodů. V textovém editoru otevřete soubor ''​host_vars/​$radius.yml''​. Lze to například pomocí příkazu: 
-<​file>​ 
-vim host_vars/​$radius.yml 
-</​file>​ 
- 
-Upravte sekci ''​NAS:''​. Pro každý přístupový bod musí být uvedena IP adresa, sdílené tajemství a krátké jméno. Můžete uvést libovolný počet přístupových bodů. Pro ermon není třeba vytvářet záznam, ten je již předdefinován ve výsledné konfiguraci. 
- 
- 
-===== Role SP ===== 
- 
-Tato role představuje realm v tom smyslu, že pouze poskytuje službu (SP - Service provider). 
- 
-Tuto roli použijte v případě, že **NEmáte** vlastní správu uživatelů. 
- 
-Provedeme další úpravy repozitáře. Následující příkazy vložte do terminálu: 
-<​file>​ 
-cp roles/​freeradius/​examples/​semik-dev.cesnet.cz-SP.yml host_vars/​$radius.yml 
-sed -i "​s/​semik-dev.cesnet.cz/​$radius/"​ host_vars/​$radius.yml 
-sed -i "​s/​semik_dev_cesnet_cz/​$radius_/"​ host_vars/​$radius.yml 
-echo " ​ ermon_secret:​ $ermon"​ >> group_vars/​idp_vault.yml 
-echo " ​ radsec_key_password:​ $radsec"​ >> group_vars/​idp_vault.yml 
-</​file>​ 
- 
-==== Definice AP ==== 
- 
-Dále je třeba doplnit konfiguraci přístupových bodů. V textovém editoru otevřete soubor ''​host_vars/​$radius.yml''​. Lze to například pomocí příkazu: 
-<​file>​ 
-vim host_vars/​$radius.yml 
-</​file>​ 
- 
-Upravte sekci ''​NAS:''​. Pro každý přístupový bod musí být uvedena IP adresa, sdílené tajemství a krátké jméno. Můžete uvést libovolný počet přístupových bodů. Pro ermon není třeba vytvářet záznam, ten je již předdefinován ve výsledné konfiguraci. 
- 
-===== Role proxy ===== 
- 
-Tato role představuje realm v tom smyslu, že pouze zprostředkovává připojení dalších serverů do celé infrastruktury. 
- 
-Vložte do terminálu následující příkazy: ​ 
-<​file>​ 
-cp roles/​freeradius/​examples/​semik-dev.cesnet.cz-SP.yml host_vars/​$radius.yml 
-sed -i "​s/​semik-dev.cesnet.cz/​$radius/"​ host_vars/​$radius.yml 
-sed -i "​s/​semik_dev_cesnet_cz/​$radius_/"​ host_vars/​$radius.yml 
-echo " ​ ermon_secret:​ $ermon"​ >> group_vars/​idp_vault.yml 
-echo " ​ radsec_key_password:​ $radsec"​ >> group_vars/​idp_vault.yml 
-</​file>​ 
- 
-==== Definice podřízených RADIUS serverů ==== 
- 
-Dále je třeba doplnit konfiguraci podřízených RADIUS serverů. V textovém editoru otevřete soubor ''​host_vars/​$radius.yml''​. Lze to například pomocí příkazu: 
-<​file>​ 
-vim host_vars/​$radius.yml 
-</​file>​ 
- 
-Upravte sekci ''​downRADIUS::''​. Pro každý RADIUS server musí být uvedeno hostname, IP adresa a sdílené tajemství. 
- 
-==== Definice AP ==== 
- 
-Dále je třeba doplnit konfiguraci přístupových bodů. V textovém editoru otevřete soubor ''​host_vars/​$radius.yml''​. Lze to například pomocí příkazu: 
-<​file>​ 
-vim host_vars/​$radius.yml 
-</​file>​ 
- 
-Upravte sekci ''​NAS:''​. Pro každý přístupový bod musí být uvedena IP adresa, sdílené tajemství a krátké jméno. Můžete uvést libovolný počet přístupových bodů. Pro ermon není třeba vytvářet záznam, ten je již předdefinován ve výsledné konfiguraci. 
- 
- 
-===== Ansible vault ===== 
- 
-Ansible vault slouží k šifrování uchovaných informací. Hesla k privátním klíčům by se vám rozhodně neměly válet na disku v nešifrované podobě. 
- 
-Pro zašifrování důvěrných informací použijte příkaz: 
-<​file>​ 
-ansible-vault encrypt group_vars/​idp_vault.yml 
-</​file>​ 
- 
-**Použité heslo nesmíte zapomenout!** Heslo si můžete uložit pro pozdější použití do souboru (To však značně oslabuje bezpečnost). Korektní správu hesla pro vault ponecháváme na správci. 
- 
-===== Spuštění ===== 
- 
-Vložte do terminálu následující příkazy: ​ 
-<​file>​ 
-ansible-playbook -i inventory.conf --ask-vault-pass playbook-freeradius.yml 
-</​file>​ 
- 
-Alternativně můžete použít, pokud máte heslo k vaultu uložené v souboru: ​ 
-<​file>​ 
-ansible-playbook -i inventory.conf --vault-password-file ~/​heslo_k_vaultu.txt playbook-freeradius.yml 
-</​file>​ 
- 
-V případě, že všechno proběhlo hladce, měli byste mít správně nakonfigurován váš RADIUS server. 
Poslední úprava:: 2024/02/28 15:41