Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

Následující verze
Předchozí verze
cs:spravce:pripojovani:radsec:radiator [2013/04/10 13:08] – external edit 127.0.0.1cs:spravce:pripojovani:radsec:radiator [2024/05/17 14:29] (aktuální) – odstraněno Jan Čáslavský
Řádek 1: Řádek 1:
-<box orange> 
-Konfigurace RadSec v Radiatoru byla zapracována přímo do návodu pro [[cs/spravce/pripojovani/radius/radiator|konfiguraci Radiatoru]] tento návod není dále udržován! 
-</box> 
  
-===== Konfigurace RadSec v Radiatoru ===== 
- 
-Radiator má podporu pro RadSec od verze 3.12, ale jedná se o prvotní verzi. Používejte minimálně verzi 4.2 a patch level 1.904. 
- 
-RadSec otevírá dvě TCP spojení. Jedno je realizováno z národního RADIUS serveru na RADIUS server instituce a druhé ze serveru instituce na národní server. Komunikace probíhá na port TCP/2083. 
- 
-Konfigurace vychází z konfigurace pro klasické připojení pomocí RADIUS prokolu chráněného IPSec. Prostudujte si [[cs:spravce:pripojovani:radius:radiator|návod]]. Pro RadSec je nutné přidat definici RadSec serveru: 
- 
-<xterm> 
-<ServerRADSEC> 
-        Secret mysecret 
- 
-        UseTLS 
-        TLS_CAPath              /etc/ssl/certs 
-        TLS_CertificateFile     /etc/ssl/certs/ipsec_**certifikat**.crt.pem 
-        TLS_CertificateType     PEM 
-        TLS_PrivateKeyFile      /etc/ssl/private/ipsec_**certifikat**.key.pem 
-         
-        TLS_RequireClientCert 
- 
- TLS_CRLCheck 
- TLS_CRLFile /etc/ssl/certs/9b59ecad.r0 
- TLS_ExpectedPeerName radius1.eduroam.cz 
-</ServerRADSEC> 
-</xterm> 
- 
-Dále v handleru zodpovědném za přeposílání dotazů na národní RADIUS server se zamění ''<AuthBy RADIUS>'' za ''<AuthBy RADSEC>'' a změní se některé parametry: 
- 
-<xterm> 
-<Handler Realm=/^.+$/> 
-        <AuthBy RADSEC> 
-                Host                    radius1.eduroam.cz 
-                Secret                  mysecret 
- 
-                MaxFailedRequests       2 
-                MaxFailedGraceTime      0 
-                FailureBackoffTime      0 
- 
-                UseTLS 
- 
-                TLS_CAPath              /etc/ssl/certs 
-                TLS_CertificateFile     /etc/ssl/certs/ipsec_**certifikat**.crt.pem 
-                TLS_CertificateType     PEM 
-                TLS_PrivateKeyFile      /etc/ssl/private/ipsec_**certifikat**.key.pem 
- 
-         TLS_CRLCheck 
-         TLS_CRLFile /etc/ssl/certs/9b59ecad.r0 
-         TLS_ExpectedPeerName radius1.eduroam.cz 
- 
-                ReplyHook               file:"/etc/radiator/check_reply.pl" 
-        </AuthBy> 
- 
-        AddToReplyIfNotExist    Tunnel-Private-Group-ID=1:100 
-        AddToReply              Tunnel-Type=1:VLAN, \ 
-                                Tunnel-Medium-Type=1:Ether_802 
-</Handler> 
-</xterm> 
- 
-Po spuštění Radiatoru s ''Trace 4'' a ''LogStdout'' vypíše informace o navázaném spojení na a z národního RADIUS serveru: 
- 
-<code> 
-DEBUG: (Re)loading CRL file '/etc/ssl/9b59ecad.r0' 
-DEBUG: Stream attempting tcp connection to radius1.eduroam.cz:2083 
-DEBUG: Stream connection in progress to radius1.eduroam.cz:2083 
-DEBUG: Finished reading configuration file '/etc/radiator/radius.cfg' 
-DEBUG: Reading dictionary file '/usr/share/radiator/dictionary' 
-DEBUG: Creating authentication port 0.0.0.0:1645 
-DEBUG: Creating authentication port 0.0.0.0:1812 
-DEBUG: Creating accounting port 0.0.0.0:1646 
-DEBUG: Creating accounting port 0.0.0.0:1813 
-NOTICE: Server started: Radiator 4.2 on ldap1 
-DEBUG: Stream connected to radius1.eduroam.cz:2083 
-DEBUG: StreamTLS sessionInit for radius1.eduroam.cz 
-DEBUG: StreamTLS SSL_connect result: -1, 2, 4384 
-DEBUG: StreamTLS Client Started for radius1.eduroam.cz:2083 
-DEBUG: Verifying certificate with Subject '/DC=cz/DC=cesnet-ca/O=CESNET/CN=ipsec/radius1.eduroam.cz' presented by peer radius1.eduroam.cz 
-DEBUG: Checking subjectAltName type 2, value radius1.eduroam.cz 
-DEBUG: Certificate DNS subjectAltName radius1.eduroam.cz matches server Host name radius1.eduroam.cz 
-DEBUG: StreamTLS SSL_connect result: -1, 2, 4560 
-DEBUG: StreamTLS SSL_connect result: 1, 0, 3 
-DEBUG: Stream connected to 195.113.187.22:47100 
-DEBUG: StreamTLS sessionInit for 195.113.187.22 
-DEBUG: StreamTLS SSL_accept result: -1, 2, 8465 
-DEBUG: StreamTLS Server Started for 195.113.187.22:47100 
-DEBUG: New StreamServer Connection created for 195.113.187.22:47100 
-DEBUG: StreamTLS SSL_accept result: -1, 2, 8576 
-DEBUG: Verifying certificate with Subject '/DC=cz/DC=cesnet-ca/O=CESNET/CN=ipsec/radius1.eduroam.cz' presented by peer 195.113.187.22 
-DEBUG: Checking subjectAltName type 2, value radius1.eduroam.cz 
-DEBUG: Certificate Subject matches TLS_ExpectedPeerName 
-DEBUG: StreamTLS SSL_accept result: 1, 0, 3 
-</code> 
- 
-Sestavení spojení lze také zkontrolovat pomocí utility ''netstat'': 
- 
-<code> 
-ldap1:~# netstat -tn |grep 195.113.187.22 
-tcp        0      0 195.113.144.226:43619   195.113.187.22:2083     ESTABLISHED 
-tcp        0      0 195.113.144.226:2083    195.113.187.22:47100    ESTABLISHED 
-</code> 
- 
-Tím je konfigurace RadSec dokončena. 
- 
-===== Poznámky ===== 
- 
-Radiator neumožnuje reload CRL v případě, že se změní. Chyba není ani tak v Radiatoru, jako spíš v OpenSSL. Po změně revokačního listu je nutné server restartovat. K stahování CRL doporučuji používát [[http://tools.cesnet-ca.cz/getcrl/|skritp getcrl.sh]]. 
- 
-Pro správnou funkci ověřování certifikátů je třeba Net::SSLeay alespoň verze 1.30. Pro RHEL4 je možné stáhnout verzi 1.31 z [[http://dag.wieers.com/apt/|Dag Apt Repository]]. 
- 
-Na rozdíl od [[cs:spravce:pripojovani:radsec:radsecproxy|radsecproxy]] Radiator neumí automaticky zjištovat stav TCP spojení pomocí dotazů ''Server-Status''. Tuto úlohu zastane [[cs:spravce:monitoring:uvod|monitoring]]. 
- 
-Sdílené tajemství je vzhledem k použití TLS zbytečné, musí ale být na všech koncích nastaveno stejně. Používáme ''mysecret''. 
- 
-Na FW je nutné povolit příchozí TCP komunikaci na portu 2083 a odchozí TCP komunikaci na port 2083. 
- 
-Pokud provádíte přechod z IPsec na RadSec, je nutné zastavit ''racoon'' a odstranit IPsec politiky z kernelu pomocí ''setkey -F; setkey -FP''.