Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

Obě strany předchozí revize Předchozí verze
Následující verze
Předchozí verze
Následující verzeObě strany příští revize
cs:spravce:pripojovani:radius:radiator [2018/09/20 15:14] – [Požadavky domácích uživatelů] semik@cesnet.czcs:spravce:pripojovani:radius:radiator [2018/09/20 15:15] – [Ověření identity uživatele a jeho oprávnění používat eduroam] semik@cesnet.cz
Řádek 205: Řádek 205:
 AP. Opět ho ukládáme lokálně, jen do jiného souboru: AP. Opět ho ukládáme lokálně, jen do jiného souboru:
  
-<xterm>+<code>
 <Handler Request-Type=Accounting-Request> <Handler Request-Type=Accounting-Request>
   AcctLogFileName /var/log/arch/radiator/radiator.global.%Y_%m_%d.acc   AcctLogFileName /var/log/arch/radiator/radiator.global.%Y_%m_%d.acc
-</xterm>+</code>
  
 a také ho posíláme našemu centrálnímu accounting systému: a také ho posíláme našemu centrálnímu accounting systému:
-<xterm>+<code>
   <AuthBy RADIUS>   <AuthBy RADIUS>
     <Host **accounting.cesnet.cz**>     <Host **accounting.cesnet.cz**>
Řádek 222: Řádek 222:
   PreProcessingHook sub { CUI::add(@_); };   PreProcessingHook sub { CUI::add(@_); };
 </Handler> </Handler>
-</xterm>+</code>
  
 Než k nám může od našich AP doputovat nějaký accounting o Než k nám může od našich AP doputovat nějaký accounting o
 návštěvníkovi, tak musí předcházet ověření jeho identity. O to se postará národní RADIUS server. Pomocí atributu [[https://tools.ietf.org/html/rfc5580#page-12|Operator-Name]] předáme národnímu RADIUSu a domovské organizaci informaci o tom kterou organizaci návštěvník navštívil, znak 1 musí být před realmem uveden, viz syntaxe atributu. návštěvníkovi, tak musí předcházet ověření jeho identity. O to se postará národní RADIUS server. Pomocí atributu [[https://tools.ietf.org/html/rfc5580#page-12|Operator-Name]] předáme národnímu RADIUSu a domovské organizaci informaci o tom kterou organizaci návštěvník navštívil, znak 1 musí být před realmem uveden, viz syntaxe atributu.
  
-<xterm>+<code>
 <Handler Realm=/^.+$/> <Handler Realm=/^.+$/>
         <AuthBy RADSEC>         <AuthBy RADSEC>
Řádek 247: Řádek 247:
          TLS_CRLFile /etc/ssl/certs/9b59ecad.r0          TLS_CRLFile /etc/ssl/certs/9b59ecad.r0
          TLS_ExpectedPeerName radius1.eduroam.cz          TLS_ExpectedPeerName radius1.eduroam.cz
-</xterm>+</code>
  
 Odpověď na ověření návštěvníkovy identity ale musí být zkontrolována, jestli neobsahuje zakázané Odpověď na ověření návštěvníkovy identity ale musí být zkontrolována, jestli neobsahuje zakázané
Řádek 254: Řádek 254:
 check_reply.pl]]. check_reply.pl]].
  
-<xterm>+<code>
     ReplyHook file:"/etc/radiator/check_reply.pl"     ReplyHook file:"/etc/radiator/check_reply.pl"
   </AuthBy>   </AuthBy>
Řádek 264: Řádek 264:
   AddToRequest            Chargeable-User-Identity=\000   AddToRequest            Chargeable-User-Identity=\000
 </Handler> </Handler>
-</xterm>+</code>
  
 ===== Ověření identity uživatele a jeho oprávnění používat eduroam ===== ===== Ověření identity uživatele a jeho oprávnění používat eduroam =====
Řádek 274: Řádek 274:
 oprávnění //eduroam// používat. oprávnění //eduroam// používat.
  
-<xterm>+<code>
 <AuthBy LDAP2> <AuthBy LDAP2>
   Identifier              CheckLDAP   Identifier              CheckLDAP
-</xterm>+</code>
  
 Radiator má implementovány dva mechanizmy, pomocí kterých se vyrovnává Radiator má implementovány dva mechanizmy, pomocí kterých se vyrovnává
Řádek 290: Řádek 290:
 jména, ale informace o realmu se neztrácí. Toto je správná funkce pro použití v //eduroam//u. jména, ale informace o realmu se neztrácí. Toto je správná funkce pro použití v //eduroam//u.
  
-<xterm>+<code>
   UsernameMatchesWithoutRealm yes   UsernameMatchesWithoutRealm yes
-</xterm>+</code>
  
 LDAP je provozován na tom samém počítači jako RADIUS server. Má LDAP je provozován na tom samém počítači jako RADIUS server. Má
Řádek 304: Řádek 304:
 specifické VLAN. Tato funkce se používá pouze pro testovací účty. specifické VLAN. Tato funkce se používá pouze pro testovací účty.
  
-<xterm>+<code>
   Host           localhost   Host           localhost
  
Řádek 315: Řádek 315:
   AuthAttrDef           radiusTunnelPrivateGroupID, \   AuthAttrDef           radiusTunnelPrivateGroupID, \
     Tunnel-Private-Group-ID, reply     Tunnel-Private-Group-ID, reply
-</xterm>+</code>
  
 Jsou podporovány různé typy EAP metod. S ohledem na chybu v software Jsou podporovány různé typy EAP metod. S ohledem na chybu v software
Řádek 325: Řádek 325:
 Pokud používáte SureServer EDU, CESNET TCS anebo jinou CA která používá několik mezilehlých CA, tak místo EAPTLS_CertificateFile použijte EAPTLS_CertificateChainFile který musí obsahovat certifikát certifikátu následovaný řetězem mezilehlých CA. Viz diskuze v listu [[https://wiki.eduroam.cz/eduroam-admin/msg00478.html|eduroam-admin]]. Pokud používáte SureServer EDU, CESNET TCS anebo jinou CA která používá několik mezilehlých CA, tak místo EAPTLS_CertificateFile použijte EAPTLS_CertificateChainFile který musí obsahovat certifikát certifikátu následovaný řetězem mezilehlých CA. Viz diskuze v listu [[https://wiki.eduroam.cz/eduroam-admin/msg00478.html|eduroam-admin]].
  
-<xterm>+<code>
   EAPType   LEAP,PEAP,TTLS,MSCHAP-V2,MD5,MD5-Challenge   EAPType   LEAP,PEAP,TTLS,MSCHAP-V2,MD5,MD5-Challenge
   EAPTLS_CAPath   /etc/ssl/certs/prazdny-adresar   EAPTLS_CAPath   /etc/ssl/certs/prazdny-adresar
Řádek 338: Řádek 338:
   //**EAPAnonymous            %n**//   //**EAPAnonymous            %n**//
   SSLeayTrace   1   SSLeayTrace   1
-</xterm>+</code>
  
 [[cs:spravce:pripojovani:radius:radiator:search_hook.pl|Skript search_hook.pl]] zajištuje, aby uživatelé nemohli být příliš kreativní při vymýšlení vnější EAP identity, dovolená hodnota je jen ''anonymous@cesnet.cz''. [[cs:spravce:pripojovani:radius:radiator:search_hook.pl|Skript search_hook.pl]] zajištuje, aby uživatelé nemohli být příliš kreativní při vymýšlení vnější EAP identity, dovolená hodnota je jen ''anonymous@cesnet.cz''.
  
-<xterm>+<code>
   PostSearchHook   file:"/etc/radiator/search_hook.pl"   PostSearchHook   file:"/etc/radiator/search_hook.pl"
-</xterm>+</code>
  
 V případě, že uživatel nemá nadefinován atribut V případě, že uživatel nemá nadefinován atribut
Řádek 354: Řádek 354:
 Další atributy jsou k odpovědi přidány vždy. Další atributy jsou k odpovědi přidány vždy.
  
-<xterm>+<code>
   AddToReplyIfNotExist   Tunnel-Private-Group-ID=1:100   AddToReplyIfNotExist   Tunnel-Private-Group-ID=1:100
   AddToReply   Tunnel-Type=1:VLAN,\   AddToReply   Tunnel-Type=1:VLAN,\
     Tunnel-Medium-Type=1:Ether_802     Tunnel-Medium-Type=1:Ether_802
 </AuthBy> </AuthBy>
-</xterm>+</code>
  
 ===== Konfigurace CUI ===== ===== Konfigurace CUI =====