Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

--- cs:spravce:pripojovani:radius:hosted [2018/08/21 11:05]
jan.tomasek@cesnet.cz [Varianta 1: LDAP server oddělené eduroam heslo]
+++ cs:spravce:pripojovani:radius:hosted [2022/07/15 16:49]
Jan Čáslavský Info, sluzbu nenabizime
@@ Řádek 1: / Řádek 1: @@
 ====== RADIUS ve správě CESNETu ======
+<WRAP center round important 60%>
+Aktuálně službu nenabízíme!
+</WRAP>
 CESNET nabízí možnost instalace a následné údržby RADIUS serveru pro připojení k //eduroam//u. Pro zprovoznění služby potřebujeme //vyhrazený// virtuální nebo fyzický server, hostovaný v infrastruktuře instituce -- to zajištuje, že RADIUS provoz není přenášen nešifrovanými veřejnými linkami. Správce z instituce bude mít na server plný přístup, ale vyžadujeme, aby server byl vyhrazen pro účely //eduroam//u. Všechny konfigurační zásahy budou prováděny vzdáleně pomocí automatu.
@@ Řádek 22: / Řádek 27: @@
 Virtuální nebo fyzický server:
-  * OS: 64bitový Debian GNU/Linux v poslední verzi
+  * OS: 64bitový Debian GNU/Linux v minimální instalaci (tj. bez GUI) v stabilní verzi
   * CPU: 2 vyhrazená jádra
   * RAM: 4 GB
@@ Řádek 28: / Řádek 33: @@
 Síťový přístup k poskytnutému serveru:
-  * TCP/ssh z rozsahu 195.113.134.128/25 a 2001:718:1:6::/64
+  * TCP/ssh z rozsahů 195.113.134.128/25, 195.113.222.96/27 a 2001:718:1:6::/64, 2001:718:1:13::/64
-  * TCP/2083 z radius1.eduroam.cz na radius1.eduroam.cz
+  * TCP/2083 z radius1.eduroam.cz a na radius1.eduroam.cz
-  * TCP/80 a TCP/443 minimálně na servery s aktualizacemi ideálně neblokovaný odchozí provoz
+  * TCP/80 a TCP/443 minimálně na servery s aktualizacemi, ideálně neblokovaný odchozí provoz
-  * ICMP PING z ermon.cesnet.cz a ermon2.cesnet.cz
+  * ICMP PING z ermon.cesnet.cz (stačí když odpoví server zajištující NAT)
-  * UDP/1812 z ermon.cesnet.cz a ermon2.cesnet.cz
+  * UDP/1812 z ermon.cesnet.cz
 Přístup k uživateli root nastavte pomocí [[:cs:spravce:pripojovani:radius:hosted:rsa|SSH RSA klíčů]].
@@ Řádek 57: / Řádek 62: @@
 {{  :cs:spravce:pripojovani:radius:freeradius3:zapojeni-nps.png?nolink|}}
-Tato varianta předpokládá, že organizace spravuje vlastní uživatele v MS AD, takže je pro ni snadné spustit MS NPS a realizovat tak vlastní RADIUS server (šedé objekty). Díky kombinaci MS produktů lze zajistit, že uživatelé mohou k přihlašování do eduroam používat ttéž heslo, jaké používají pro přístup do domény. CESNET pak realizuje instalaci FreeRADIUSu v proxy režimu (fialový box), tím je zajištěna bezpečná komunikace s eduroam infrastrukturou. Je-li to nutné, nemusí ermon a ermon2.cesnet.cz komunikovat přímo s NPS, ale postačí komunikace s FreeRADIUSem ve správě CESNETu (viz čárkovaná šipka).
+Tato varianta předpokládá, že organizace spravuje vlastní uživatele v MS AD, takže je pro ni snadné spustit MS NPS a realizovat tak vlastní RADIUS server (šedé objekty). Díky kombinaci MS produktů lze zajistit, že uživatelé mohou k přihlašování do eduroam používat totéž heslo, jaké používají pro přístup do domény. CESNET pak realizuje instalaci FreeRADIUSu v proxy režimu (fialový box), tím je zajištěna bezpečná komunikace s eduroam infrastrukturou. Je-li to nutné, nemusí ermon a ermon2.cesnet.cz komunikovat přímo s NPS, ale postačí komunikace s FreeRADIUSem ve správě CESNETu (viz čárkovaná šipka).

Rozdíly

Rychlé odkazy

Kontakt

Service desk