Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Následující verze | Předchozí verze Poslední revize Obě strany příští revize | ||
cs:spravce:pripojovani:radius:freeradius_playbook_idpsp [2017/11/08 14:36] machv@cesnet.cz created |
cs:spravce:pripojovani:radius:freeradius_playbook_idpsp [2017/11/08 16:08] machv@cesnet.cz |
||
---|---|---|---|
Řádek 38: | Řádek 38: | ||
==== Úprava LDAPu ==== | ==== Úprava LDAPu ==== | ||
- | Definici vašeho LDAP serveru musíte uvést do souboru ''host_vars/$radius.yml''. Otevřete soubor v textovém editoru a upravte hodnotu hodnotu klíče ''URL''. | + | Definici vašeho LDAP serveru musíte uvést do souboru ''host_vars/$radius.yml''. Otevřete soubor v textovém editoru a upravte hodnotu hodnotu klíče ''URL''. Za jméno serveru uveďte port 636, na kterém komunikuje zabezpečená varianta protokolu ldap. Hodnotou klíče ''CAChain'' je certifikát, který se použije pro ověření serveru, na kterém beží ldap. |
- | + | ||
- | Pokud chcete použít zabezpečené spojení, taktéž musíte adekvátně specifikovat hodnotu klíče ''CAChain''. | + | |
Konkrétní DN, kam se bude hlásit daný uživatel použitý pro ověřování požadavků specifikujte v klíči ''bindDN''. | Konkrétní DN, kam se bude hlásit daný uživatel použitý pro ověřování požadavků specifikujte v klíči ''bindDN''. | ||
- | Část stromu, ve které jsou umístěni uživatelé a bude v ní probíhat vyhledávání specifikujte v klíči ''peopleDN''. | + | Část stromu, ve které jsou umístěni uživatelé a bude v ní probíhat vyhledávání, specifikujte v klíči ''peopleDN''. |
LDAP Atribut, ve kterém je uvedeno uživatelské heslo pro eduroam specifikujte v klíči ''eduroamPassword'' | LDAP Atribut, ve kterém je uvedeno uživatelské heslo pro eduroam specifikujte v klíči ''eduroamPassword'' | ||
- | TODO - peopleSubSearch: - neni v playbooku pouzito | ||
TODO - uid: - neni v playbooku pouzito | TODO - uid: - neni v playbooku pouzito | ||
+ | |||
+ | Detailní popis všech používaných parametrů je na [[https://github.com/CESNET/ansible-freeradius/blob/master/Parameters.md|Githubu]]. | ||
+ | |||
+ | |||
==== Více realmů ==== | ==== Více realmů ==== | ||
- | TODO | + | V případě, že používate více realmů, uvěďte každý realm na jeden řádek do klíče ''realm''. |
==== Definice AP ==== | ==== Definice AP ==== | ||
Řádek 63: | Řádek 64: | ||
Upravte sekci ''NAS:''. Pro každý přístupový bod musí být uvedena IP adresa, sdílené tajemství a krátké jméno. Můžete uvést libovolný počet přístupových bodů. Pro ermon není třeba vytvářet záznam, ten je již předdefinován ve výsledné konfiguraci. | Upravte sekci ''NAS:''. Pro každý přístupový bod musí být uvedena IP adresa, sdílené tajemství a krátké jméno. Můžete uvést libovolný počet přístupových bodů. Pro ermon není třeba vytvářet záznam, ten je již předdefinován ve výsledné konfiguraci. | ||
+ | ===== Ansible vault ===== | ||
+ | |||
+ | Ansible vault slouží k šifrování uchovaných informací. Hesla k privátním klíčům by se vám rozhodně neměly válet na disku v nešifrované podobě. | ||
+ | |||
+ | Pro zašifrování důvěrných informací použijte příkaz: | ||
+ | <file> | ||
+ | ansible-vault encrypt group_vars/idp_vault.yml | ||
+ | </file> | ||
+ | |||
+ | **Použité heslo nesmíte zapomenout!** Heslo si můžete uložit pro pozdější použití do souboru (To však značně oslabuje bezpečnost). Korektní správu hesla pro vault ponecháváme na správci. | ||
+ | |||
+ | ===== Spuštění ===== | ||
+ | |||
+ | Vložte do terminálu následující příkazy: | ||
+ | <file> | ||
+ | ansible-playbook -i inventory.conf --ask-vault-pass playbook-freeradius.yml | ||
+ | </file> | ||
+ | |||
+ | Alternativně můžete použít, pokud máte heslo k vaultu uložené v souboru: | ||
+ | <file> | ||
+ | ansible-playbook -i inventory.conf --vault-password-file ~/heslo_k_vaultu.txt playbook-freeradius.yml | ||
+ | </file> | ||
+ | V případě, že všechno proběhlo hladce, měli byste mít správně nakonfigurován váš RADIUS server. |