Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze | ||
cs:spravce:pripojovani:radius:hosted [2018/12/10 10:39] jan.tomasek@cesnet.cz [Informace potřebné pro zprovoznění služby] |
— (aktuální) | ||
---|---|---|---|
Řádek 1: | Řádek 1: | ||
- | ====== RADIUS ve správě CESNETu ====== | ||
- | CESNET nabízí možnost instalace a následné údržby RADIUS serveru pro připojení k //eduroam//u. Pro zprovoznění služby potřebujeme //vyhrazený// virtuální nebo fyzický server, hostovaný v infrastruktuře instituce -- to zajištuje, že RADIUS provoz není přenášen nešifrovanými veřejnými linkami. Správce z instituce bude mít na server plný přístup, ale vyžadujeme, aby server byl vyhrazen pro účely //eduroam//u. Všechny konfigurační zásahy budou prováděny vzdáleně pomocí automatu. | ||
- | |||
- | Aby bylo možné RADIUS server implementovat v roli poskytovatele eduroam identit, je třeba, aby byla k dispozici databáze uživatelů oprávněných k použití eduroamu. V eduroamu se uživatelé většinou ověřují pomocí metody PEAP-MSCHAPv2, která vyžaduje, aby RADIUS server měl heslo uživatele k dispozici v čitelné podobně. To je často řešeno tak, že pro účely eduroamu si uživatelé generují odlišné heslo ukládané do jiného atributu. Je to celkem rozumná praktika, protože heslo k WiFi síti si uživatelé naprosto vždy uloží, a tak usnadní jeho případnou krádež. Na druhou stranu dvě různá hesla snižují uživatelský komfort. Pokud je požadavek na jedno heslo a uživatelé jsou evidováni v MS AD, lze spustit službu NPS, nechat uživatele ověřovat na NPS a CESNETem spravovaný RADIUS použít pouze pro účely propojení s eduroam infrastrukturou. | ||
- | |||
- | ===== Kontakty & cena ===== | ||
- | |||
- | Pokud máte o zprovoznění eduroamu touto cestou zájem, kontaktujte nás na [[info@eduroam.cz]]. | ||
- | |||
- | Alternativu k této službě může nabídnout kterákoliv z [[:cs:spravce:pripojovani:seznam_implementatoru|implementačních firem]], které navíc dokáží efektivně pomoci s výběrem a instalací WiFi infrastruktury. | ||
- | |||
- | |||
- | ===== Informace potřebné pro zprovoznění služby ===== | ||
- | |||
- | Organizační informace: | ||
- | * realm / doména organizace, | ||
- | * administrativně technický kontakt za organizaci | ||
- | * jméno příjmení | ||
- | |||
- | * telefon | ||
- | |||
- | Virtuální nebo fyzický server: | ||
- | * OS: 64bitový Debian GNU/Linux v poslední verzi | ||
- | * CPU: 2 vyhrazená jádra | ||
- | * RAM: 4 GB | ||
- | * HDD: 30 GB | ||
- | |||
- | Síťový přístup k poskytnutému serveru: | ||
- | * TCP/ssh z rozsahu 195.113.134.128/25 a 2001:718:1:6::/64 | ||
- | * TCP/2083 z radius1.eduroam.cz a na radius1.eduroam.cz | ||
- | * TCP/80 a TCP/443 minimálně na servery s aktualizacemi, ideálně neblokovaný odchozí provoz | ||
- | * ICMP PING z ermon.cesnet.cz a ermon2.cesnet.cz (stačí když odpoví server zajištující NAT) | ||
- | * UDP/1812 z ermon.cesnet.cz a ermon2.cesnet.cz | ||
- | |||
- | Přístup k uživateli root nastavte pomocí [[:cs:spravce:pripojovani:radius:hosted:rsa|SSH RSA klíčů]]. | ||
- | |||
- | ==== Varianta 1: LDAP server oddělené eduroam heslo ==== | ||
- | |||
- | {{ :cs:spravce:pripojovani:radius:freeradius3:zapojeni-ldap.png?nolink|}} | ||
- | |||
- | V této variantě organizace nemá žádný vlastní RADIUS server, pro účely propojení s eduroam infrastrukturou slouží RADIUS ve správě CESNETu (fialový box). Uživatele a WiFi infrastrukturu si organizace spravuje samostatně (šedivé objekty). Pro eduroam se používá oddělené heslo, které je čitelné pro RADIUS server. K zprovoznění jsou potřeba následující informace o LDAP serveru (kromě vytvoření virtuálního serveru s Linuxem): | ||
- | |||
- | * hostname LDAP serveru | ||
- | * servisní účet pouze pro čtení (bindDN / heslo) | ||
- | * baseDN pro hledání uživatelů | ||
- | * filter pro omezení oprávněných uživatelů -- pokud nemají mít přístup všichni | ||
- | * atribut, ve kterém je uloženo uživatelské jméno (uid) | ||
- | * atribut, ve kterém je uloženo heslo pro eduroam (radiusPassword) | ||
- | * testovací účet pro monitoring | ||
- | * přístup stačí z IP adresy poskytnutého virtuálního serveru | ||
- | |||
- | Dále je potřeba v objednávce sdělit IP rozsahy WiFi infrastruktury a sdílené tajemství pro komunikaci mezi RADIUS serverem a WiFi infrastrukturou. | ||
- | |||
- | ==== Varianta 2: FreeRADIUS proxy před MS NPS ==== | ||
- | |||
- | {{ :cs:spravce:pripojovani:radius:freeradius3:zapojeni-nps.png?nolink|}} | ||
- | |||
- | Tato varianta předpokládá, že organizace spravuje vlastní uživatele v MS AD, takže je pro ni snadné spustit MS NPS a realizovat tak vlastní RADIUS server (šedé objekty). Díky kombinaci MS produktů lze zajistit, že uživatelé mohou k přihlašování do eduroam používat totéž heslo, jaké používají pro přístup do domény. CESNET pak realizuje instalaci FreeRADIUSu v proxy režimu (fialový box), tím je zajištěna bezpečná komunikace s eduroam infrastrukturou. Je-li to nutné, nemusí ermon a ermon2.cesnet.cz komunikovat přímo s NPS, ale postačí komunikace s FreeRADIUSem ve správě CESNETu (viz čárkovaná šipka). | ||
- | |||
- | |||
- | Pro zprovoznění je třeba virtuální server s Debian Linuxem (viz výše). Dále pak: | ||
- | * hostname / IP adresa NPS | ||
- | * sdílené tajemství pro komunikaci mezi FreeRADIUSem a NPS | ||
- | * sdílené tajemství pro komunikaci mezi NPS a ermon.cesnet.cz a ermon2.cesnet.cz | ||
- | * testovací účet v realmu instituce (tj. nikoli .local) | ||
- | * zajistit že NPS bude zpracovávat požadavky na ověření uživatelů v realmu instituce | ||
- | * zajistit že NPS bude předávat požadavky na ověření cizích uživatelů na server s FreeRADIUSem | ||
- |