Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
| Obě strany předchozí revize Předchozí verze | |||
|
cs:spravce:pripojovani:radsec:radiator [2022/01/12 13:54] jan.tomasek@cesnet.cz [Poznámky] |
cs:spravce:pripojovani:radsec:radiator [2022/01/20 14:21] Jan.Belina@cesnet.cz Přechod z xterm na code |
||
|---|---|---|---|
| Řádek 11: | Řádek 11: | ||
| Konfigurace vychází z konfigurace pro klasické připojení pomocí RADIUS prokolu chráněného IPSec. Prostudujte si [[cs:spravce:pripojovani:radius:radiator|návod]]. Pro RadSec je nutné přidat definici RadSec serveru: | Konfigurace vychází z konfigurace pro klasické připojení pomocí RADIUS prokolu chráněného IPSec. Prostudujte si [[cs:spravce:pripojovani:radius:radiator|návod]]. Pro RadSec je nutné přidat definici RadSec serveru: | ||
| - | <xterm> | + | <code> |
| <ServerRADSEC> | <ServerRADSEC> | ||
| Secret mysecret | Secret mysecret | ||
| Řádek 17: | Řádek 17: | ||
| UseTLS | UseTLS | ||
| TLS_CAPath /etc/ssl/certs | TLS_CAPath /etc/ssl/certs | ||
| - | TLS_CertificateFile /etc/ssl/certs/ipsec_**certifikat**.crt.pem | + | TLS_CertificateFile /etc/ssl/certs/ipsec_certifikat.crt.pem |
| TLS_CertificateType PEM | TLS_CertificateType PEM | ||
| - | TLS_PrivateKeyFile /etc/ssl/private/ipsec_**certifikat**.key.pem | + | TLS_PrivateKeyFile /etc/ssl/private/ipsec_certifikat.key.pem |
| | | ||
| TLS_RequireClientCert | TLS_RequireClientCert | ||
| Řádek 27: | Řádek 27: | ||
| TLS_ExpectedPeerName radius1.eduroam.cz | TLS_ExpectedPeerName radius1.eduroam.cz | ||
| </ServerRADSEC> | </ServerRADSEC> | ||
| - | </xterm> | + | </code> |
| Dále v handleru zodpovědném za přeposílání dotazů na národní RADIUS server se zamění ''<AuthBy RADIUS>'' za ''<AuthBy RADSEC>'' a změní se některé parametry: | Dále v handleru zodpovědném za přeposílání dotazů na národní RADIUS server se zamění ''<AuthBy RADIUS>'' za ''<AuthBy RADSEC>'' a změní se některé parametry: | ||
| - | <xterm> | + | <code> |
| <Handler Realm=/^.+$/> | <Handler Realm=/^.+$/> | ||
| <AuthBy RADSEC> | <AuthBy RADSEC> | ||
| Řádek 44: | Řádek 44: | ||
| TLS_CAPath /etc/ssl/certs | TLS_CAPath /etc/ssl/certs | ||
| - | TLS_CertificateFile /etc/ssl/certs/ipsec_**certifikat**.crt.pem | + | TLS_CertificateFile /etc/ssl/certs/ipsec_certifikat.crt.pem |
| TLS_CertificateType PEM | TLS_CertificateType PEM | ||
| - | TLS_PrivateKeyFile /etc/ssl/private/ipsec_**certifikat**.key.pem | + | TLS_PrivateKeyFile /etc/ssl/private/ipsec_certifikat.key.pem |
| TLS_CRLCheck | TLS_CRLCheck | ||
| Řádek 59: | Řádek 59: | ||
| Tunnel-Medium-Type=1:Ether_802 | Tunnel-Medium-Type=1:Ether_802 | ||
| </Handler> | </Handler> | ||
| - | </xterm> | + | </code> |
| Po spuštění Radiatoru s ''Trace 4'' a ''LogStdout'' vypíše informace o navázaném spojení na a z národního RADIUS serveru: | Po spuštění Radiatoru s ''Trace 4'' a ''LogStdout'' vypíše informace o navázaném spojení na a z národního RADIUS serveru: | ||
| Řádek 107: | Řádek 107: | ||
| ===== Poznámky ===== | ===== Poznámky ===== | ||
| - | Radiator neumožnuje reload CRL v případě, že se změní. Chyba není ani tak v Radiatoru, jako spíš v OpenSSL. Po změně revokačního listu je nutné server restartovat. K stahování CRL doporučuji používát [[https://github.com/CESNET/getcrl|skritp getcrl.sh]]. | + | Radiator neumožnuje reload CRL v případě, že se změní. Chyba není ani tak v Radiatoru, jako spíš v OpenSSL. Po změně revokačního listu je nutné server restartovat. K stahování CRL doporučuji používát [[http://tools.cesnet-ca.cz/getcrl/|skritp getcrl.sh]]. |
| Pro správnou funkci ověřování certifikátů je třeba Net::SSLeay alespoň verze 1.30. Pro RHEL4 je možné stáhnout verzi 1.31 z [[http://dag.wieers.com/apt/|Dag Apt Repository]]. | Pro správnou funkci ověřování certifikátů je třeba Net::SSLeay alespoň verze 1.30. Pro RHEL4 je možné stáhnout verzi 1.31 z [[http://dag.wieers.com/apt/|Dag Apt Repository]]. | ||
CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
support@cesnet.cz