Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

Obě strany předchozí revize Předchozí verze
Následující verzeObě strany příští revize
cs:spravce:pripojovani:radius:freeradius_playbook [2017/11/08 13:23] machv@cesnet.czcs:spravce:pripojovani:radius:freeradius_playbook [2017/11/08 13:39] machv@cesnet.cz
Řádek 72: Řádek 72:
   * Role proxy Tuto roli použijte v případě, že pouze připojujete další serveru do eduroam infrastruktury.   * Role proxy Tuto roli použijte v případě, že pouze připojujete další serveru do eduroam infrastruktury.
  
- 
- 
-===== Role IdP + SP ===== 
- 
-Tato role představuje realm v tom smyslu, že: 
-  * ověřuje vlastní uživatele (IdP - Identity provider) 
-  * poskytuje službu (SP - Service provider) 
- 
-Tuto roli použijte v případě, že máte vlastní správu uživatelů. 
- 
-Vložte do terminálu následující příkazy:  
-<file> 
-read -p 'zadejte heslo pro ldap: ' ldap  
-read -p 'zadejte heslo k privatnimu klici pro eap: ' eap  
-</file> 
- 
-Dále vložte do terminálu následující příkazy: 
-<file> 
-echo "  ermon_secret: $ermon" >> group_vars/idp_vault.yml 
-echo "  ldap_passwd: $ldap" >> group_vars/idp_vault.yml 
-echo "  radsec_key_password: $radsec" >> group_vars/idp_vault.yml 
-echo "  eap_key_password: $eap" >> group_vars/idp_vault.yml 
-cp roles/freeradius/examples/semik-dev.cesnet.cz-IdPSP.yml host_vars/$radius.yml 
-</file> 
- 
-Pokud používáte pro RadSec i EAP stejný certifikát, vložte následující příkazy: 
-<file> 
-sed -i "/semik2-dev.cesnet.cz/d" host_vars/$radius.yml 
-sed -i "s/semik-dev.cesnet.cz/$radius/" host_vars/$radius.yml 
-sed -i "s/semik_dev_cesnet_cz/$radius_/" host_vars/$radius.yml 
-</file> 
- 
-Pokud používáte pro RadSec a EAP **jiný** certifikát, vložte následující příkazy: 
-<file> 
-sed -i "/semik2-dev.cesnet.cz/d" host_vars/$radius.yml 
-sed -i ':a;$!{N;ba};s/certificate: files\/certs\/semik-dev.cesnet.cz.crt/certificate: files\/certs\/'"${radius}_eap.crt"'/2' host_vars/$radius.yml 
-sed -i ':a;$!{N;ba};s/certificate: files\/certs\/semik-dev.cesnet.cz.key/certificate: files\/certs\/'"${radius}_eap.key"'/2' host_vars/$radius.yml 
-</file> 
- 
-==== Úprava LDAPu ==== 
- 
-Definici vašeho LDAP serveru musíte uvést do souboru ''host_vars/$radius.yml''. Otevřete soubor v textovém editoru a upravte hodnotu hodnotu klíče ''URL''. 
- 
-Pokud chcete použít zabezpečené spojení, taktéž musíte adekvátně specifikovat hodnotu klíče ''CAChain''. 
- 
-Konkrétní DN, kam se bude hlásit daný uživatel použitý pro ověřování požadavků specifikujte v klíči ''bindDN''. 
- 
-Část stromu, ve které jsou umístěni uživatelé a bude v ní probíhat vyhledávání specifikujte v klíči ''peopleDN''. 
- 
-LDAP Atribut, ve kterém je uvedeno uživatelské heslo pro eduroam specifikujte v klíči ''eduroamPassword''  
- 
-TODO - peopleSubSearch: - neni v playbooku pouzito 
-TODO - uid: - neni v playbooku pouzito 
-==== Více realmů ==== 
- 
-TODO 
- 
-==== Definice AP ==== 
- 
-Dále je třeba doplnit konfiguraci přístupových bodů. V textovém editoru otevřete soubor ''host_vars/$radius.yml''. Lze to například pomocí příkazu: 
-<file> 
-vim host_vars/$radius.yml 
-</file> 
- 
-Upravte sekci ''NAS:''. Pro každý přístupový bod musí být uvedena IP adresa, sdílené tajemství a krátké jméno. Můžete uvést libovolný počet přístupových bodů. Pro ermon není třeba vytvářet záznam, ten je již předdefinován ve výsledné konfiguraci. 
- 
- 
-===== Role SP ===== 
- 
-Tato role představuje realm v tom smyslu, že pouze poskytuje službu (SP - Service provider). 
- 
-Tuto roli použijte v případě, že **NEmáte** vlastní správu uživatelů. 
- 
-Provedeme další úpravy repozitáře. Následující příkazy vložte do terminálu: 
-<file> 
-cp roles/freeradius/examples/semik-dev.cesnet.cz-SP.yml host_vars/$radius.yml 
-sed -i "s/semik-dev.cesnet.cz/$radius/" host_vars/$radius.yml 
-sed -i "s/semik_dev_cesnet_cz/$radius_/" host_vars/$radius.yml 
-echo "  ermon_secret: $ermon" >> group_vars/idp_vault.yml 
-echo "  radsec_key_password: $radsec" >> group_vars/idp_vault.yml 
-</file> 
- 
-==== Definice AP ==== 
- 
-Dále je třeba doplnit konfiguraci přístupových bodů. V textovém editoru otevřete soubor ''host_vars/$radius.yml''. Lze to například pomocí příkazu: 
-<file> 
-vim host_vars/$radius.yml 
-</file> 
- 
-Upravte sekci ''NAS:''. Pro každý přístupový bod musí být uvedena IP adresa, sdílené tajemství a krátké jméno. Můžete uvést libovolný počet přístupových bodů. Pro ermon není třeba vytvářet záznam, ten je již předdefinován ve výsledné konfiguraci. 
- 
-===== Role proxy ===== 
- 
-Tato role představuje realm v tom smyslu, že pouze zprostředkovává připojení dalších serverů do celé infrastruktury. 
- 
-Vložte do terminálu následující příkazy:  
-<file> 
-cp roles/freeradius/examples/semik-dev.cesnet.cz-SP.yml host_vars/$radius.yml 
-sed -i "s/semik-dev.cesnet.cz/$radius/" host_vars/$radius.yml 
-sed -i "s/semik_dev_cesnet_cz/$radius_/" host_vars/$radius.yml 
-echo "  ermon_secret: $ermon" >> group_vars/idp_vault.yml 
-echo "  radsec_key_password: $radsec" >> group_vars/idp_vault.yml 
-</file> 
- 
-==== Definice podřízených RADIUS serverů ==== 
- 
-Dále je třeba doplnit konfiguraci podřízených RADIUS serverů. V textovém editoru otevřete soubor ''host_vars/$radius.yml''. Lze to například pomocí příkazu: 
-<file> 
-vim host_vars/$radius.yml 
-</file> 
- 
-Upravte sekci ''downRADIUS::''. Pro každý RADIUS server musí být uvedeno hostname, IP adresa a sdílené tajemství. 
- 
-==== Definice AP ==== 
- 
-Dále je třeba doplnit konfiguraci přístupových bodů. V textovém editoru otevřete soubor ''host_vars/$radius.yml''. Lze to například pomocí příkazu: 
-<file> 
-vim host_vars/$radius.yml 
-</file> 
- 
-Upravte sekci ''NAS:''. Pro každý přístupový bod musí být uvedena IP adresa, sdílené tajemství a krátké jméno. Můžete uvést libovolný počet přístupových bodů. Pro ermon není třeba vytvářet záznam, ten je již předdefinován ve výsledné konfiguraci. 
- 
- 
-===== Ansible vault ===== 
- 
-Ansible vault slouží k šifrování uchovaných informací. Hesla k privátním klíčům by se vám rozhodně neměly válet na disku v nešifrované podobě. 
- 
-Pro zašifrování důvěrných informací použijte příkaz: 
-<file> 
-ansible-vault encrypt group_vars/idp_vault.yml 
-</file> 
- 
-**Použité heslo nesmíte zapomenout!** Heslo si můžete uložit pro pozdější použití do souboru (To však značně oslabuje bezpečnost). Korektní správu hesla pro vault ponecháváme na správci. 
- 
-===== Spuštění ===== 
- 
-Vložte do terminálu následující příkazy:  
-<file> 
-ansible-playbook -i inventory.conf --ask-vault-pass playbook-freeradius.yml 
-</file> 
- 
-Alternativně můžete použít, pokud máte heslo k vaultu uložené v souboru:  
-<file> 
-ansible-playbook -i inventory.conf --vault-password-file ~/heslo_k_vaultu.txt playbook-freeradius.yml 
-</file> 
- 
-V případě, že všechno proběhlo hladce, měli byste mít správně nakonfigurován váš RADIUS server.