Tato role představuje realm v tom smyslu, že:
Tuto roli použijte v případě, že máte vlastní správu uživatelů.
Vložte do terminálu následující příkazy:
read -p 'zadejte heslo pro ldap: ' ldap read -p 'zadejte heslo k privatnimu klici pro eap: ' eap
Dále vložte do terminálu následující příkazy:
echo " ermon_secret: $ermon" >> group_vars/idp_vault.yml echo " ldap_passwd: $ldap" >> group_vars/idp_vault.yml echo " radsec_key_password: $radsec" >> group_vars/idp_vault.yml echo " eap_key_password: $eap" >> group_vars/idp_vault.yml cp roles/freeradius/examples/semik-dev.cesnet.cz-IdPSP.yml host_vars/$radius.yml
Pokud používáte pro RadSec i EAP stejný certifikát, vložte následující příkazy:
sed -i "/semik2-dev.cesnet.cz/d" host_vars/$radius.yml sed -i "s/semik-dev.cesnet.cz/$radius/" host_vars/$radius.yml sed -i "s/semik_dev_cesnet_cz/$radius_/" host_vars/$radius.yml
Pokud používáte pro RadSec a EAP jiný certifikát, vložte následující příkazy:
sed -i "/semik2-dev.cesnet.cz/d" host_vars/$radius.yml sed -i ':a;$!{N;ba};s/certificate: files\/certs\/semik-dev.cesnet.cz.crt/certificate: files\/certs\/'"${radius}_eap.crt"'/2' host_vars/$radius.yml sed -i ':a;$!{N;ba};s/certificate: files\/certs\/semik-dev.cesnet.cz.key/certificate: files\/certs\/'"${radius}_eap.key"'/2' host_vars/$radius.yml
Definici vašeho LDAP serveru musíte uvést do souboru host_vars/$radius.yml
. Otevřete soubor v textovém editoru a upravte hodnotu hodnotu klíče URL
. Za jméno serveru uveďte port 636, na kterém komunikuje zabezpečená varianta protokolu ldap. Hodnotou klíče CAChain
je certifikát, který se použije pro ověření serveru, na kterém beží ldap.
Konkrétní DN, kam se bude hlásit daný uživatel použitý pro ověřování požadavků specifikujte v klíči bindDN
.
Část stromu, ve které jsou umístěni uživatelé a bude v ní probíhat vyhledávání, specifikujte v klíči peopleDN
.
LDAP Atribut, ve kterém je uvedeno uživatelské heslo pro eduroam specifikujte v klíči eduroamPassword
LDAP Atribut, podle kterého jsou vyhledávani uživatelé je uveden v atributu uid
Detailní popis všech používaných parametrů je na Githubu.
V případě, že používate více realmů, uvěďte každý realm na jeden řádek do klíče realm
.
Dále je třeba doplnit konfiguraci přístupových bodů. V textovém editoru otevřete soubor host_vars/$radius.yml
. Lze to například pomocí příkazu:
vim host_vars/$radius.yml
Upravte sekci NAS:
. Pro každý přístupový bod musí být uvedena IP adresa, sdílené tajemství a krátké jméno. Můžete uvést libovolný počet přístupových bodů. Pro ermon není třeba vytvářet záznam, ten je již předdefinován ve výsledné konfiguraci.
Ansible vault slouží k šifrování uchovaných informací. Hesla k privátním klíčům by se vám rozhodně neměly válet na disku v nešifrované podobě.
Pro zašifrování důvěrných informací použijte příkaz:
ansible-vault encrypt group_vars/idp_vault.yml
Použité heslo nesmíte zapomenout! Heslo si můžete uložit pro pozdější použití do souboru (To však značně oslabuje bezpečnost). Korektní správu hesla pro vault ponecháváme na správci.
Vložte do terminálu následující příkazy:
ansible-playbook -i inventory.conf --ask-vault-pass playbook-freeradius.yml
Alternativně můžete použít, pokud máte heslo k vaultu uložené v souboru:
ansible-playbook -i inventory.conf --vault-password-file ~/heslo_k_vaultu.txt playbook-freeradius.yml
V případě, že všechno proběhlo hladce, měli byste mít správně nakonfigurován váš RADIUS server.
CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
support@cesnet.cz