Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Následující verze | Předchozí verze Následující verze Obě strany příští revize | ||
cs:spravce:pripojovani:radius:uvod [2013/04/10 15:11] 127.0.0.1 upraveno mimo DokuWiki |
cs:spravce:pripojovani:radius:uvod [2018/02/18 11:51] borik@cesnet.cz [Microsoft NPS] |
||
---|---|---|---|
Řádek 1: | Řádek 1: | ||
- | ====== Připojení k eduroam.cz: konfigurace RADIUSu ====== | + | ====== Připojení k eduroam.cz: RADIUS ====== |
- | Pro pochopení konfigurace RADIUS serveru musíte chápat princip fungování IP roamingu a hierarchie RADIUS serverů který je | + | Pro připojení instituce k eduroamu lze použít libovolný z řady RADIUS serverů které splňují [[:cs:spravce:pripojovani:souhrn#pozadavky_na_radius_server|technické požadavky]]. Službu RADIUS serveru můžete implementovat pomocí různých implementací. |
- | popsán v dokumentu [[:cs:spravce:uvod|Popis | + | |
- | roamingu a mobility v rámci české NREN]]. | + | |
- | Samotné propojení RADIUS serverů je možné, jestliže máte k dispozici certifikát pro RadSec anebo IPsec spojení. Dále musíte mít k dispozici klíč (sdílené tajemství) | + | ===== FreeRADIUS ===== |
- | pro vzájemnou komunikaci RADIUS serverů. Pro každý server je použit | + | |
- | jiný klíč, pro komunikaci mezi národním a Vaším RADIUS serverem je v | + | |
- | obou směrech použit ten samý klíč. | + | |
- | Váš server nesmí předávat národním RADIUS serverům dotazy bez | + | Nadpoloviční část zapojených institucí implementuje RADIUS právě pomocí FreeRADIUSu. |
- | realmu. Rozhodnutí, jak budete zacházet s takovými dotazy, záleží na | + | Dokumentace pro zapojení do eduroamu je k [[:cs:spravce:pripojovani:radius:freeradius3|dispozici]]. |
- | Vašich preferencích. Jestliže se ale rozhodnete předpokládat, že | + | |
- | takový uživatel je Váš lokální, musíte počítat s problémy takových | + | |
- | uživatelů v jiných než domácích sítích. Doporučujeme na dotazy bez | + | |
- | realmu odpovídat Access-Rejected, tj. nepřipouštět ověřování uživatelů | + | |
- | bez realmu. | + | |
- | Odpovědi, které Váš RADIUS dostává od národního serveru, musí | ||
- | náležitě zpracovat: | ||
- | * Některé připojené organizace posílají s odpovědí AV páry určující, do jaké VLAN má být uživatel umístěn. Musíte zajistit odstranění těchto AV párů, aby nedošlo k průnikům hostů do těch oblastí Vaší sítě, kam je nechcete pustit. Jedná se především o: ''Tunnel-Private-Group-ID'', ''Tunnel-Type'' a ''Tunnel-Medium-Type''. | ||
- | * Odpověď obsahující AV pár ''Tunnel-Private-Group-ID = 1:666'' identifkuje testovací účet. Měli byste zajistit, aby takto označené účty nemohly ve Vaší síti získat přístup ke konektivitě. U eduroam je jedna z možností tuto VLAN definovat jako "slepou". | ||
- | Existuje celá řada implementací RADIUS protokolu. V rámci evropského projektu //eduroam// je zdaleka nejrozšířenější [[:cs:spravce:pripojovani:radius:radiator|Radiator]]. | + | ===== Radiator ===== |
- | V rámci České Republiky je v //eduroam.cz// je často používán [[:cs:spravce:pripojovani:radius:freeradius|FreeRadius]] a MS IAS. CESNET používá Radiator nejen na národních RADIUS serverech, ale i na serverech sloužících k ověřování našich vlastních uživatelů. Konfigurační možnosti Radiatoru jsou ze zmiňovaných produktů rozhodně nejširší. Na základě zkušeností zejména | + | |
- | ČVUT FEL a UJEP lze doporučit i nasazení FreeRadiusu. | + | Zajištuje provoz českého národního RADIUSu, obsluhuje uživatele CESNETu, MUNI, TUL, ... Výhodou je snadná rozšiřitelnost a velmi vysoká flexibilita. Je to OpenSource ale je nutné platit licenční poplatky. Dokumentace pro zapojení do eduroamu je k [[:cs:spravce:pripojovani:radius:Radiator|dispozici]]. |
+ | |||
+ | ===== Microsoft NPS ===== | ||
+ | |||
+ | Je alternativou pro instituce preferující řešení na platformě Microsoft. Ty [[:cs:spravce:pripojovani:souhrn#pozadavky_na_radius_server|technické požadavky]], které nesplňuje, nejsou překážkou pro zapojení do eduroamu. Jako RADIUS insituce bude fungovat spolehlivě, nehodí se pro proxy RADIUS obsluhující několik institucí. | ||
+ | |||
+ | ===== Cisco ISE ===== | ||
+ | |||
+ | Je alternativou pro instituce preferující řešení na platformě Microsoft, lze jej přesvědčit ke splnění většiny [[:cs:spravce:pripojovani:souhrn#pozadavky_na_radius_server|technických požadavků]]. Jako RADIUS insituce bude fungovat spolehlivě, nehodí se pro proxy RADIUS obsluhující několik institucí. Je k dispozici [[https://www.eduroam.cz/_media/cs/spravce/ap/meraki_ise_eduroam-navod.pdf|návod]] pro konfiguraci ISE ve spojení s WiFi řešením Meraki. | ||
+ | |||
+ | ====== Pomoc při nasazení RADIUS serveru ====== | ||
+ | |||
+ | Při nasazení eduroam můžete využít i službu [[cs:spravce:pripojovani:radius:hosted|RADIUS ve správě CESNETu]]. | ||
- | Pro nasazení v připojované organizaci je především důležité, aby | ||
- | server uměl: | ||
- | * zpracovávat požadavky obsahující realmy | ||
- | * splupracovat s existující AAI organizace | ||
- | * podporoval minimálně PEAP-MSCHAPv2 |