Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
| Následující verze | Předchozí verze Následující verze Obě strany příští revize | ||
|
cs:spravce:pripojovani:radius:uvod [2013/04/10 15:11] 127.0.0.1 upraveno mimo DokuWiki |
cs:spravce:pripojovani:radius:uvod [2017/10/19 19:07] borik@cesnet.cz [Připojení k eduroam.cz: RADIUS] |
||
|---|---|---|---|
| Řádek 1: | Řádek 1: | ||
| - | ====== Připojení k eduroam.cz: konfigurace RADIUSu ====== | + | ====== Připojení k eduroam.cz: RADIUS ====== |
| - | Pro pochopení konfigurace RADIUS serveru musíte chápat princip fungování IP roamingu a hierarchie RADIUS serverů který je | + | Pro připojení instituce k eduroamu lze použít libovolný z řady RADIUS serverů které splňují [[:cs:spravce:pripojovani:souhrn#pozadavky_na_radius_server|technické požadavky]]. Službu RADIUS serveru můžete implementovat pomocí různých implementací. |
| - | popsán v dokumentu [[:cs:spravce:uvod|Popis | + | |
| - | roamingu a mobility v rámci české NREN]]. | + | |
| - | Samotné propojení RADIUS serverů je možné, jestliže máte k dispozici certifikát pro RadSec anebo IPsec spojení. Dále musíte mít k dispozici klíč (sdílené tajemství) | + | ===== FreeRADIUS ===== |
| - | pro vzájemnou komunikaci RADIUS serverů. Pro každý server je použit | + | |
| - | jiný klíč, pro komunikaci mezi národním a Vaším RADIUS serverem je v | + | |
| - | obou směrech použit ten samý klíč. | + | |
| - | Váš server nesmí předávat národním RADIUS serverům dotazy bez | + | Nadpoloviční část zapojených institucí implementuje RADIUS právě pomocí FreeRADIUSu. |
| - | realmu. Rozhodnutí, jak budete zacházet s takovými dotazy, záleží na | + | Dokumentace pro zapojení do eduroamu je k [[:cs:spravce:pripojovani:radius:freeradius3|dispozici]]. |
| - | Vašich preferencích. Jestliže se ale rozhodnete předpokládat, že | + | |
| - | takový uživatel je Váš lokální, musíte počítat s problémy takových | + | |
| - | uživatelů v jiných než domácích sítích. Doporučujeme na dotazy bez | + | |
| - | realmu odpovídat Access-Rejected, tj. nepřipouštět ověřování uživatelů | + | |
| - | bez realmu. | + | |
| - | Odpovědi, které Váš RADIUS dostává od národního serveru, musí | ||
| - | náležitě zpracovat: | ||
| - | * Některé připojené organizace posílají s odpovědí AV páry určující, do jaké VLAN má být uživatel umístěn. Musíte zajistit odstranění těchto AV párů, aby nedošlo k průnikům hostů do těch oblastí Vaší sítě, kam je nechcete pustit. Jedná se především o: ''Tunnel-Private-Group-ID'', ''Tunnel-Type'' a ''Tunnel-Medium-Type''. | ||
| - | * Odpověď obsahující AV pár ''Tunnel-Private-Group-ID = 1:666'' identifkuje testovací účet. Měli byste zajistit, aby takto označené účty nemohly ve Vaší síti získat přístup ke konektivitě. U eduroam je jedna z možností tuto VLAN definovat jako "slepou". | ||
| - | Existuje celá řada implementací RADIUS protokolu. V rámci evropského projektu //eduroam// je zdaleka nejrozšířenější [[:cs:spravce:pripojovani:radius:radiator|Radiator]]. | + | ===== Radiator ===== |
| - | V rámci České Republiky je v //eduroam.cz// je často používán [[:cs:spravce:pripojovani:radius:freeradius|FreeRadius]] a MS IAS. CESNET používá Radiator nejen na národních RADIUS serverech, ale i na serverech sloužících k ověřování našich vlastních uživatelů. Konfigurační možnosti Radiatoru jsou ze zmiňovaných produktů rozhodně nejširší. Na základě zkušeností zejména | + | |
| - | ČVUT FEL a UJEP lze doporučit i nasazení FreeRadiusu. | + | Zajištuje provoz českého národního RADIUSu, obsluhuje uživatele CESNETu, MUNI, TUL, ... Výhodou je snadná rozšiřitelnost a velmi vysoká flexibilita. Je to OpenSource ale je nutné platit licenční poplatky. Dokumentace pro zapojení do eduroamu je k [[:cs:spravce:pripojovani:radius:Radiator|dispozici]]. |
| + | |||
| + | ===== Microsoft NPS ===== | ||
| + | |||
| + | Je alternativou pro instituce preferující řešení na platformě Microsoft. Ty [[:cs:spravce:pripojovani:souhrn#pozadavky_na_radius_server|technické požadavky]] které nesplňuje nejsou překážkou pro zapojení do eduroamu. Jako RADIUS insituce bude fungovat spolehlivě, nehodí se pro proxy RADIUS obsluhující několik institucí. | ||
| + | |||
| + | ===== Cisco ISE ===== | ||
| + | |||
| + | Je alternativou pro instituce preferující řešení na platformě Microsoft, lze jej přesvědčit ke splnění většiny [[:cs:spravce:pripojovani:souhrn#pozadavky_na_radius_server|technických požadavků]]. Jako RADIUS insituce bude fungovat spolehlivě, nehodí se pro proxy RADIUS obsluhující několik institucí. Je k dispozici [[https://www.eduroam.cz/_media/cs/spravce/ap/meraki_ise_eduroam-navod.pdf|návod]] pro konfiguraci ISE ve spojení s WiFi řešením Meraki. | ||
| + | |||
| + | ====== Pomoc při nasazení RADIUS serveru ====== | ||
| + | |||
| + | Při nasazení eduroam můžete využít i službu [[cs:spravce:pripojovani:radius:hosted|RADIUS ve správě CESNETu]]. | ||
| - | Pro nasazení v připojované organizaci je především důležité, aby | ||
| - | server uměl: | ||
| - | * zpracovávat požadavky obsahující realmy | ||
| - | * splupracovat s existující AAI organizace | ||
| - | * podporoval minimálně PEAP-MSCHAPv2 | ||
CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
support@cesnet.cz