Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revize Předchozí verze | |||
cs:spravce:pripojovani:radsec:radiator [2022/01/12 13:54] jan.tomasek@cesnet.cz [Poznámky] |
cs:spravce:pripojovani:radsec:radiator [2022/01/20 14:21] Jan.Belina@cesnet.cz Přechod z xterm na code |
||
---|---|---|---|
Řádek 11: | Řádek 11: | ||
Konfigurace vychází z konfigurace pro klasické připojení pomocí RADIUS prokolu chráněného IPSec. Prostudujte si [[cs:spravce:pripojovani:radius:radiator|návod]]. Pro RadSec je nutné přidat definici RadSec serveru: | Konfigurace vychází z konfigurace pro klasické připojení pomocí RADIUS prokolu chráněného IPSec. Prostudujte si [[cs:spravce:pripojovani:radius:radiator|návod]]. Pro RadSec je nutné přidat definici RadSec serveru: | ||
- | <xterm> | + | <code> |
<ServerRADSEC> | <ServerRADSEC> | ||
Secret mysecret | Secret mysecret | ||
Řádek 17: | Řádek 17: | ||
UseTLS | UseTLS | ||
TLS_CAPath /etc/ssl/certs | TLS_CAPath /etc/ssl/certs | ||
- | TLS_CertificateFile /etc/ssl/certs/ipsec_**certifikat**.crt.pem | + | TLS_CertificateFile /etc/ssl/certs/ipsec_certifikat.crt.pem |
TLS_CertificateType PEM | TLS_CertificateType PEM | ||
- | TLS_PrivateKeyFile /etc/ssl/private/ipsec_**certifikat**.key.pem | + | TLS_PrivateKeyFile /etc/ssl/private/ipsec_certifikat.key.pem |
| | ||
TLS_RequireClientCert | TLS_RequireClientCert | ||
Řádek 27: | Řádek 27: | ||
TLS_ExpectedPeerName radius1.eduroam.cz | TLS_ExpectedPeerName radius1.eduroam.cz | ||
</ServerRADSEC> | </ServerRADSEC> | ||
- | </xterm> | + | </code> |
Dále v handleru zodpovědném za přeposílání dotazů na národní RADIUS server se zamění ''<AuthBy RADIUS>'' za ''<AuthBy RADSEC>'' a změní se některé parametry: | Dále v handleru zodpovědném za přeposílání dotazů na národní RADIUS server se zamění ''<AuthBy RADIUS>'' za ''<AuthBy RADSEC>'' a změní se některé parametry: | ||
- | <xterm> | + | <code> |
<Handler Realm=/^.+$/> | <Handler Realm=/^.+$/> | ||
<AuthBy RADSEC> | <AuthBy RADSEC> | ||
Řádek 44: | Řádek 44: | ||
TLS_CAPath /etc/ssl/certs | TLS_CAPath /etc/ssl/certs | ||
- | TLS_CertificateFile /etc/ssl/certs/ipsec_**certifikat**.crt.pem | + | TLS_CertificateFile /etc/ssl/certs/ipsec_certifikat.crt.pem |
TLS_CertificateType PEM | TLS_CertificateType PEM | ||
- | TLS_PrivateKeyFile /etc/ssl/private/ipsec_**certifikat**.key.pem | + | TLS_PrivateKeyFile /etc/ssl/private/ipsec_certifikat.key.pem |
TLS_CRLCheck | TLS_CRLCheck | ||
Řádek 59: | Řádek 59: | ||
Tunnel-Medium-Type=1:Ether_802 | Tunnel-Medium-Type=1:Ether_802 | ||
</Handler> | </Handler> | ||
- | </xterm> | + | </code> |
Po spuštění Radiatoru s ''Trace 4'' a ''LogStdout'' vypíše informace o navázaném spojení na a z národního RADIUS serveru: | Po spuštění Radiatoru s ''Trace 4'' a ''LogStdout'' vypíše informace o navázaném spojení na a z národního RADIUS serveru: | ||
Řádek 107: | Řádek 107: | ||
===== Poznámky ===== | ===== Poznámky ===== | ||
- | Radiator neumožnuje reload CRL v případě, že se změní. Chyba není ani tak v Radiatoru, jako spíš v OpenSSL. Po změně revokačního listu je nutné server restartovat. K stahování CRL doporučuji používát [[https://github.com/CESNET/getcrl|skritp getcrl.sh]]. | + | Radiator neumožnuje reload CRL v případě, že se změní. Chyba není ani tak v Radiatoru, jako spíš v OpenSSL. Po změně revokačního listu je nutné server restartovat. K stahování CRL doporučuji používát [[http://tools.cesnet-ca.cz/getcrl/|skritp getcrl.sh]]. |
Pro správnou funkci ověřování certifikátů je třeba Net::SSLeay alespoň verze 1.30. Pro RHEL4 je možné stáhnout verzi 1.31 z [[http://dag.wieers.com/apt/|Dag Apt Repository]]. | Pro správnou funkci ověřování certifikátů je třeba Net::SSLeay alespoň verze 1.30. Pro RHEL4 je možné stáhnout verzi 1.31 z [[http://dag.wieers.com/apt/|Dag Apt Repository]]. |