Toto je starší verze dokumentu!

RADIUS ve správě CESNETu

CESNET nabízí možnost instalace a následné údržby RADIUS serveru pro připojení k eduroamu. Pro zprovoznění služby potřebujeme vyhrazený virtuální nebo fyzický server, hostovaný v infrastruktuře instituce – to zajištuje, že RADIUS provoz není přenášen nešifrovanými veřejnými linkami. Správce z instituce bude mít na server plný přístup, ale vyžadujeme, aby server byl vyhrazen pro účely eduroamu. Všechny konfigurační zásahy budou prováděny vzdáleně pomocí automatu.

Aby bylo možné RADIUS server implementovat v roli poskytovatele eduroam identit, je třeba, aby byla k dispozici databáze uživatelů oprávněných k použití eduroamu. V eduroamu se uživatelé většinou ověřují pomocí metody PEAP-MSCHAPv2, která vyžaduje, aby RADIUS server měl heslo uživatele k dispozici v čitelné podobně. To je často řešeno tak, že pro účely eduroamu si uživatelé generují odlišné heslo ukládané do jiného atributu. Je to celkem rozumná praktika, protože heslo k WiFi síti si uživatelé naprosto vždy uloží, a tak usnadní jeho případnou krádež. Na druhou stranu dvě různá hesla snižují uživatelský komfort. Pokud je požadavek na jedno heslo a uživatelé jsou evidováni v MS AD, lze spustit službu NPS, nechat uživatele ověřovat na NPS a CESNETem spravovaný RADIUS použít pouze pro účely propojení s eduroam infrastrukturou.

Kontakty & cena

Pokud máte o zprovoznění eduroamu touto cestou zájem, kontaktujte nás na info@eduroam.cz.

Alternativu k této službě může nabídnout kterákoliv z implementačních firem, které navíc dokáží efektivně pomoci s výběrem a instalací WiFi infrastruktury.

Informace potřebné pro zprovoznění služby

Organizační informace:

  • realm / doména organizace,
  • administrativně technický kontakt za organizaci
    • jméno příjmení
    • email
    • telefon

Virtuální nebo fyzický server:

  • OS: 64bitový Debian GNU/Linux v poslední verzi
  • CPU: 2 vyhrazená jádra
  • RAM: 4 GB
  • HDD: 30 GB

Síťový přístup k poskytnutému serveru:

  • TCP/ssh z rozsahů 195.113.134.128/25, 195.113.222.99/28 a 2001:718:1:6::/64, 2001:718:1:13::/64
  • TCP/2083 z radius1.eduroam.cz a na radius1.eduroam.cz
  • TCP/80 a TCP/443 minimálně na servery s aktualizacemi, ideálně neblokovaný odchozí provoz
  • ICMP PING z ermon.cesnet.cz a ermon2.cesnet.cz (stačí když odpoví server zajištující NAT)
  • UDP/1812 z ermon.cesnet.cz a ermon2.cesnet.cz

Přístup k uživateli root nastavte pomocí SSH RSA klíčů.

Varianta 1: LDAP server oddělené eduroam heslo

V této variantě organizace nemá žádný vlastní RADIUS server, pro účely propojení s eduroam infrastrukturou slouží RADIUS ve správě CESNETu (fialový box). Uživatele a WiFi infrastrukturu si organizace spravuje samostatně (šedivé objekty). Pro eduroam se používá oddělené heslo, které je čitelné pro RADIUS server. K zprovoznění jsou potřeba následující informace o LDAP serveru (kromě vytvoření virtuálního serveru s Linuxem):

  • hostname LDAP serveru
  • servisní účet pouze pro čtení (bindDN / heslo)
  • baseDN pro hledání uživatelů
  • filter pro omezení oprávněných uživatelů – pokud nemají mít přístup všichni
  • atribut, ve kterém je uloženo uživatelské jméno (uid)
  • atribut, ve kterém je uloženo heslo pro eduroam (radiusPassword)
  • testovací účet pro monitoring
  • přístup stačí z IP adresy poskytnutého virtuálního serveru

Dále je potřeba v objednávce sdělit IP rozsahy WiFi infrastruktury a sdílené tajemství pro komunikaci mezi RADIUS serverem a WiFi infrastrukturou.

Varianta 2: FreeRADIUS proxy před MS NPS

Tato varianta předpokládá, že organizace spravuje vlastní uživatele v MS AD, takže je pro ni snadné spustit MS NPS a realizovat tak vlastní RADIUS server (šedé objekty). Díky kombinaci MS produktů lze zajistit, že uživatelé mohou k přihlašování do eduroam používat totéž heslo, jaké používají pro přístup do domény. CESNET pak realizuje instalaci FreeRADIUSu v proxy režimu (fialový box), tím je zajištěna bezpečná komunikace s eduroam infrastrukturou. Je-li to nutné, nemusí ermon a ermon2.cesnet.cz komunikovat přímo s NPS, ale postačí komunikace s FreeRADIUSem ve správě CESNETu (viz čárkovaná šipka).

Pro zprovoznění je třeba virtuální server s Debian Linuxem (viz výše). Dále pak:

  • hostname / IP adresa NPS
  • sdílené tajemství pro komunikaci mezi FreeRADIUSem a NPS
  • sdílené tajemství pro komunikaci mezi NPS a ermon.cesnet.cz a ermon2.cesnet.cz
  • testovací účet v realmu instituce (tj. nikoli .local)
  • zajistit že NPS bude zpracovávat požadavky na ověření uživatelů v realmu instituce
  • zajistit že NPS bude předávat požadavky na ověření cizích uživatelů na server s FreeRADIUSem