cs:spravce:pripojovani:radius:radiator

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
Next revision
Previous revision
cs:spravce:pripojovani:radius:radiator [2018/09/20 17:14]
semik@cesnet.cz [Požadavky domácích uživatelů]
cs:spravce:pripojovani:radius:radiator [2018/09/20 17:15]
semik@cesnet.cz [Ověření identity uživatele a jeho oprávnění používat eduroam]
Line 205: Line 205:
 AP. Opět ho ukládáme lokálně, jen do jiného souboru: AP. Opět ho ukládáme lokálně, jen do jiného souboru:
  
-<xterm>+<code>
 <Handler Request-Type=Accounting-Request>​ <Handler Request-Type=Accounting-Request>​
   AcctLogFileName /​var/​log/​arch/​radiator/​radiator.global.%Y_%m_%d.acc   AcctLogFileName /​var/​log/​arch/​radiator/​radiator.global.%Y_%m_%d.acc
-</xterm>+</code>
  
 a také ho posíláme našemu centrálnímu accounting systému: a také ho posíláme našemu centrálnímu accounting systému:
-<xterm>+<code>
   <AuthBy RADIUS>   <AuthBy RADIUS>
     <Host **accounting.cesnet.cz**>​     <Host **accounting.cesnet.cz**>​
Line 222: Line 222:
   PreProcessingHook sub { CUI::​add(@_);​ };   PreProcessingHook sub { CUI::​add(@_);​ };
 </​Handler>​ </​Handler>​
-</xterm>+</code>
  
 Než k nám může od našich AP doputovat nějaký accounting o Než k nám může od našich AP doputovat nějaký accounting o
 návštěvníkovi,​ tak musí předcházet ověření jeho identity. O to se postará národní RADIUS server. Pomocí atributu [[https://​tools.ietf.org/​html/​rfc5580#​page-12|Operator-Name]] předáme národnímu RADIUSu a domovské organizaci informaci o tom kterou organizaci návštěvník navštívil,​ znak 1 musí být před realmem uveden, viz syntaxe atributu. návštěvníkovi,​ tak musí předcházet ověření jeho identity. O to se postará národní RADIUS server. Pomocí atributu [[https://​tools.ietf.org/​html/​rfc5580#​page-12|Operator-Name]] předáme národnímu RADIUSu a domovské organizaci informaci o tom kterou organizaci návštěvník navštívil,​ znak 1 musí být před realmem uveden, viz syntaxe atributu.
  
-<xterm>+<code>
 <Handler Realm=/​^.+$/>​ <Handler Realm=/​^.+$/>​
         <AuthBy RADSEC>         <AuthBy RADSEC>
Line 247: Line 247:
          TLS_CRLFile /​etc/​ssl/​certs/​9b59ecad.r0          TLS_CRLFile /​etc/​ssl/​certs/​9b59ecad.r0
          TLS_ExpectedPeerName radius1.eduroam.cz          TLS_ExpectedPeerName radius1.eduroam.cz
-</xterm>+</code>
  
 Odpověď na ověření návštěvníkovy identity ale musí být zkontrolována,​ jestli neobsahuje zakázané Odpověď na ověření návštěvníkovy identity ale musí být zkontrolována,​ jestli neobsahuje zakázané
Line 254: Line 254:
 check_reply.pl]]. check_reply.pl]].
  
-<xterm>+<code>
     ReplyHook file:"/​etc/​radiator/​check_reply.pl"​     ReplyHook file:"/​etc/​radiator/​check_reply.pl"​
   </​AuthBy>​   </​AuthBy>​
Line 264: Line 264:
   AddToRequest ​           Chargeable-User-Identity=\000   AddToRequest ​           Chargeable-User-Identity=\000
 </​Handler>​ </​Handler>​
-</xterm>+</code>
  
 ===== Ověření identity uživatele a jeho oprávnění používat eduroam ===== ===== Ověření identity uživatele a jeho oprávnění používat eduroam =====
Line 274: Line 274:
 oprávnění //eduroam// používat. oprávnění //eduroam// používat.
  
-<xterm>+<code>
 <AuthBy LDAP2> <AuthBy LDAP2>
   Identifier ​             CheckLDAP   Identifier ​             CheckLDAP
-</xterm>+</code>
  
 Radiator má implementovány dva mechanizmy, pomocí kterých se vyrovnává Radiator má implementovány dva mechanizmy, pomocí kterých se vyrovnává
Line 290: Line 290:
 jména, ale informace o realmu se neztrácí. Toto je správná funkce pro použití v //​eduroam//​u. jména, ale informace o realmu se neztrácí. Toto je správná funkce pro použití v //​eduroam//​u.
  
-<xterm>+<code>
   UsernameMatchesWithoutRealm yes   UsernameMatchesWithoutRealm yes
-</xterm>+</code>
  
 LDAP je provozován na tom samém počítači jako RADIUS server. Má LDAP je provozován na tom samém počítači jako RADIUS server. Má
Line 304: Line 304:
 specifické VLAN. Tato funkce se používá pouze pro testovací účty. specifické VLAN. Tato funkce se používá pouze pro testovací účty.
  
-<xterm>+<code>
   Host  ​         localhost   Host  ​         localhost
  
Line 315: Line 315:
   AuthAttrDef  ​         radiusTunnelPrivateGroupID,​ \   AuthAttrDef  ​         radiusTunnelPrivateGroupID,​ \
     Tunnel-Private-Group-ID,​ reply     Tunnel-Private-Group-ID,​ reply
-</xterm>+</code>
  
 Jsou podporovány různé typy EAP metod. S ohledem na chybu v software Jsou podporovány různé typy EAP metod. S ohledem na chybu v software
Line 325: Line 325:
 Pokud používáte SureServer EDU, CESNET TCS anebo jinou CA která používá několik mezilehlých CA, tak místo EAPTLS_CertificateFile použijte EAPTLS_CertificateChainFile který musí obsahovat certifikát certifikátu následovaný řetězem mezilehlých CA. Viz diskuze v listu [[https://​wiki.eduroam.cz/​eduroam-admin/​msg00478.html|eduroam-admin]]. Pokud používáte SureServer EDU, CESNET TCS anebo jinou CA která používá několik mezilehlých CA, tak místo EAPTLS_CertificateFile použijte EAPTLS_CertificateChainFile který musí obsahovat certifikát certifikátu následovaný řetězem mezilehlých CA. Viz diskuze v listu [[https://​wiki.eduroam.cz/​eduroam-admin/​msg00478.html|eduroam-admin]].
  
-<xterm>+<code>
   EAPType  ​ LEAP,​PEAP,​TTLS,​MSCHAP-V2,​MD5,​MD5-Challenge   EAPType  ​ LEAP,​PEAP,​TTLS,​MSCHAP-V2,​MD5,​MD5-Challenge
   EAPTLS_CAPath  ​ /​etc/​ssl/​certs/​prazdny-adresar   EAPTLS_CAPath  ​ /​etc/​ssl/​certs/​prazdny-adresar
Line 338: Line 338:
   //​**EAPAnonymous ​           %n**//   //​**EAPAnonymous ​           %n**//
   SSLeayTrace  ​ 1   SSLeayTrace  ​ 1
-</xterm>+</code>
  
 [[cs:​spravce:​pripojovani:​radius:​radiator:​search_hook.pl|Skript search_hook.pl]] zajištuje, aby uživatelé nemohli být příliš kreativní při vymýšlení vnější EAP identity, dovolená hodnota je jen ''​anonymous@cesnet.cz''​. [[cs:​spravce:​pripojovani:​radius:​radiator:​search_hook.pl|Skript search_hook.pl]] zajištuje, aby uživatelé nemohli být příliš kreativní při vymýšlení vnější EAP identity, dovolená hodnota je jen ''​anonymous@cesnet.cz''​.
  
-<xterm>+<code>
   PostSearchHook  ​ file:"/​etc/​radiator/​search_hook.pl"​   PostSearchHook  ​ file:"/​etc/​radiator/​search_hook.pl"​
-</xterm>+</code>
  
 V případě, že uživatel nemá nadefinován atribut V případě, že uživatel nemá nadefinován atribut
Line 354: Line 354:
 Další atributy jsou k odpovědi přidány vždy. Další atributy jsou k odpovědi přidány vždy.
  
-<xterm>+<code>
   AddToReplyIfNotExist  ​ Tunnel-Private-Group-ID=1:​100   AddToReplyIfNotExist  ​ Tunnel-Private-Group-ID=1:​100
   AddToReply  ​ Tunnel-Type=1:​VLAN,​\   AddToReply  ​ Tunnel-Type=1:​VLAN,​\
     Tunnel-Medium-Type=1:​Ether_802     Tunnel-Medium-Type=1:​Ether_802
 </​AuthBy>​ </​AuthBy>​
-</xterm>+</code>
  
 ===== Konfigurace CUI ===== ===== Konfigurace CUI =====
Last modified:: 2018/09/20 17:15