Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

--- cs:spravce:pripojovani:radius:radiator [2018/09/20 15:14] – [Požadavky domácích uživatelů] semik@cesnet.cz
+++ cs:spravce:pripojovani:radius:radiator [2018/09/20 15:15] – [Ověření identity uživatele a jeho oprávnění používat eduroam] semik@cesnet.cz
@@ Řádek 205: / Řádek 205: @@
 AP. Opět ho ukládáme lokálně, jen do jiného souboru:
-<xterm>
+<code>
 <Handler Request-Type=Accounting-Request>
   AcctLogFileName	/var/log/arch/radiator/radiator.global.%Y_%m_%d.acc
-</xterm>
+</code>
 a také ho posíláme našemu centrálnímu accounting systému:
-<xterm>
+<code>
   <AuthBy RADIUS>
     <Host **accounting.cesnet.cz**>
@@ Řádek 222: / Řádek 222: @@
   PreProcessingHook sub { CUI::add(@_); };
 </Handler>
-</xterm>
+</code>
 Než k nám může od našich AP doputovat nějaký accounting o
 návštěvníkovi, tak musí předcházet ověření jeho identity. O to se postará národní RADIUS server. Pomocí atributu [[https://tools.ietf.org/html/rfc5580#page-12|Operator-Name]] předáme národnímu RADIUSu a domovské organizaci informaci o tom kterou organizaci návštěvník navštívil, znak 1 musí být před realmem uveden, viz syntaxe atributu.
-<xterm>
+<code>
 <Handler Realm=/^.+$/>
         <AuthBy RADSEC>
@@ Řádek 247: / Řádek 247: @@
 	        TLS_CRLFile		/etc/ssl/certs/9b59ecad.r0
 	        TLS_ExpectedPeerName	radius1.eduroam.cz
-</xterm>
+</code>
 Odpověď na ověření návštěvníkovy identity ale musí být zkontrolována, jestli neobsahuje zakázané
@@ Řádek 254: / Řádek 254: @@
 check_reply.pl]].
-<xterm>
+<code>
     ReplyHook file:"/etc/radiator/check_reply.pl"
   </AuthBy>
@@ Řádek 264: / Řádek 264: @@
   AddToRequest            Chargeable-User-Identity=\000
 </Handler>
-</xterm>
+</code>
 ===== Ověření identity uživatele a jeho oprávnění používat eduroam =====
@@ Řádek 274: / Řádek 274: @@
 oprávnění //eduroam// používat.
-<xterm>
+<code>
 <AuthBy LDAP2>
   Identifier              CheckLDAP
-</xterm>
+</code>
 Radiator má implementovány dva mechanizmy, pomocí kterých se vyrovnává
@@ Řádek 290: / Řádek 290: @@
 jména, ale informace o realmu se neztrácí. Toto je správná funkce pro použití v //eduroam//u.
-<xterm>
+<code>
   UsernameMatchesWithoutRealm yes
-</xterm>
+</code>
 LDAP je provozován na tom samém počítači jako RADIUS server. Má
@@ Řádek 304: / Řádek 304: @@
 specifické VLAN. Tato funkce se používá pouze pro testovací účty.
-<xterm>
+<code>
   Host		          localhost
@@ Řádek 315: / Řádek 315: @@
   AuthAttrDef	          radiusTunnelPrivateGroupID, \
   			  Tunnel-Private-Group-ID, reply
-</xterm>
+</code>
 Jsou podporovány různé typy EAP metod. S ohledem na chybu v software
@@ Řádek 325: / Řádek 325: @@
 Pokud používáte SureServer EDU, CESNET TCS anebo jinou CA která používá několik mezilehlých CA, tak místo EAPTLS_CertificateFile použijte EAPTLS_CertificateChainFile který musí obsahovat certifikát certifikátu následovaný řetězem mezilehlých CA. Viz diskuze v listu [[https://wiki.eduroam.cz/eduroam-admin/msg00478.html|eduroam-admin]].
-<xterm>
+<code>
   EAPType		  LEAP,PEAP,TTLS,MSCHAP-V2,MD5,MD5-Challenge
   EAPTLS_CAPath		  /etc/ssl/certs/prazdny-adresar
@@ Řádek 338: / Řádek 338: @@
   //**EAPAnonymous            %n**//
   SSLeayTrace		  1
-</xterm>
+</code>
 [[cs:spravce:pripojovani:radius:radiator:search_hook.pl|Skript search_hook.pl]] zajištuje, aby uživatelé nemohli být příliš kreativní při vymýšlení vnější EAP identity, dovolená hodnota je jen ''anonymous@cesnet.cz''.
-<xterm>
+<code>
   PostSearchHook	  file:"/etc/radiator/search_hook.pl"
-</xterm>
+</code>
 V případě, že uživatel nemá nadefinován atribut
@@ Řádek 354: / Řádek 354: @@
 Další atributy jsou k odpovědi přidány vždy.
-<xterm>
+<code>
   AddToReplyIfNotExist	  Tunnel-Private-Group-ID=1:100
   AddToReply		  Tunnel-Type=1:VLAN,\
   			  Tunnel-Medium-Type=1:Ether_802
 </AuthBy>
-</xterm>
+</code>
 ===== Konfigurace CUI =====