Toto je starší verze dokumentu!

Role IdP + SP

Tato role představuje realm v tom smyslu, že:

  • ověřuje vlastní uživatele (IdP - Identity provider)
  • poskytuje službu (SP - Service provider)

Tuto roli použijte v případě, že máte vlastní správu uživatelů.

Vložte do terminálu následující příkazy: 

read -p 'zadejte heslo pro ldap: ' ldap 
read -p 'zadejte heslo k privatnimu klici pro eap: ' eap

Dále vložte do terminálu následující příkazy: 

echo "  ermon_secret: $ermon" >> group_vars/idp_vault.yml
echo "  ldap_passwd: $ldap" >> group_vars/idp_vault.yml
echo "  radsec_key_password: $radsec" >> group_vars/idp_vault.yml
echo "  eap_key_password: $eap" >> group_vars/idp_vault.yml
cp roles/freeradius/examples/semik-dev.cesnet.cz-IdPSP.yml host_vars/$radius.yml

Pokud používáte pro RadSec i EAP stejný certifikát, vložte následující příkazy: 

sed -i "/semik2-dev.cesnet.cz/d" host_vars/$radius.yml
sed -i "s/semik-dev.cesnet.cz/$radius/" host_vars/$radius.yml
sed -i "s/semik_dev_cesnet_cz/$radius_/" host_vars/$radius.yml

Pokud používáte pro RadSec a EAP jiný certifikát, vložte následující příkazy: 

sed -i "/semik2-dev.cesnet.cz/d" host_vars/$radius.yml
sed -i ':a;$!{N;ba};s/certificate: files\/certs\/semik-dev.cesnet.cz.crt/certificate: files\/certs\/'"${radius}_eap.crt"'/2' host_vars/$radius.yml
sed -i ':a;$!{N;ba};s/certificate: files\/certs\/semik-dev.cesnet.cz.key/certificate: files\/certs\/'"${radius}_eap.key"'/2' host_vars/$radius.yml

Úprava LDAPu

Definici vašeho LDAP serveru musíte uvést do souboru host_vars/$radius.yml. Otevřete soubor v textovém editoru a upravte hodnotu hodnotu klíče URL.

Pokud chcete použít zabezpečené spojení, taktéž musíte adekvátně specifikovat hodnotu klíče CAChain.

Konkrétní DN, kam se bude hlásit daný uživatel použitý pro ověřování požadavků specifikujte v klíči bindDN.

Část stromu, ve které jsou umístěni uživatelé a bude v ní probíhat vyhledávání specifikujte v klíči peopleDN.

LDAP Atribut, ve kterém je uvedeno uživatelské heslo pro eduroam specifikujte v klíči eduroamPassword

TODO - peopleSubSearch: - neni v playbooku pouzito TODO - uid: - neni v playbooku pouzito

Více realmů

TODO

Definice AP

Dále je třeba doplnit konfiguraci přístupových bodů. V textovém editoru otevřete soubor host_vars/$radius.yml. Lze to například pomocí příkazu: 

vim host_vars/$radius.yml

Upravte sekci NAS:. Pro každý přístupový bod musí být uvedena IP adresa, sdílené tajemství a krátké jméno. Můžete uvést libovolný počet přístupových bodů. Pro ermon není třeba vytvářet záznam, ten je již předdefinován ve výsledné konfiguraci.