Rozdíly
Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Následující verze | Předchozí verze | ||
cs:spravce:pripojovani:radsec:radiator [2013/04/10 13:08] – external edit 127.0.0.1 | cs:spravce:pripojovani:radsec:radiator [2024/05/17 14:29] (aktuální) – odstraněno Jan Čáslavský | ||
---|---|---|---|
Řádek 1: | Řádek 1: | ||
- | <box orange> | ||
- | Konfigurace RadSec v Radiatoru byla zapracována přímo do návodu pro [[cs/ | ||
- | </ | ||
- | ===== Konfigurace RadSec v Radiatoru ===== | ||
- | |||
- | Radiator má podporu pro RadSec od verze 3.12, ale jedná se o prvotní verzi. Používejte minimálně verzi 4.2 a patch level 1.904. | ||
- | |||
- | RadSec otevírá dvě TCP spojení. Jedno je realizováno z národního RADIUS serveru na RADIUS server instituce a druhé ze serveru instituce na národní server. Komunikace probíhá na port TCP/2083. | ||
- | |||
- | Konfigurace vychází z konfigurace pro klasické připojení pomocí RADIUS prokolu chráněného IPSec. Prostudujte si [[cs: | ||
- | |||
- | < | ||
- | < | ||
- | Secret mysecret | ||
- | |||
- | UseTLS | ||
- | TLS_CAPath | ||
- | TLS_CertificateFile | ||
- | TLS_CertificateType | ||
- | TLS_PrivateKeyFile | ||
- | | ||
- | TLS_RequireClientCert | ||
- | |||
- | TLS_CRLCheck | ||
- | TLS_CRLFile / | ||
- | TLS_ExpectedPeerName radius1.eduroam.cz | ||
- | </ | ||
- | </ | ||
- | |||
- | Dále v handleru zodpovědném za přeposílání dotazů na národní RADIUS server se zamění ''< | ||
- | |||
- | < | ||
- | <Handler Realm=/ | ||
- | <AuthBy RADSEC> | ||
- | Host radius1.eduroam.cz | ||
- | Secret | ||
- | |||
- | MaxFailedRequests | ||
- | MaxFailedGraceTime | ||
- | FailureBackoffTime | ||
- | |||
- | UseTLS | ||
- | |||
- | TLS_CAPath | ||
- | TLS_CertificateFile | ||
- | TLS_CertificateType | ||
- | TLS_PrivateKeyFile | ||
- | |||
- | TLS_CRLCheck | ||
- | TLS_CRLFile / | ||
- | TLS_ExpectedPeerName radius1.eduroam.cz | ||
- | |||
- | ReplyHook | ||
- | </ | ||
- | |||
- | AddToReplyIfNotExist | ||
- | AddToReply | ||
- | Tunnel-Medium-Type=1: | ||
- | </ | ||
- | </ | ||
- | |||
- | Po spuštění Radiatoru s '' | ||
- | |||
- | < | ||
- | DEBUG: (Re)loading CRL file '/ | ||
- | DEBUG: Stream attempting tcp connection to radius1.eduroam.cz: | ||
- | DEBUG: Stream connection in progress to radius1.eduroam.cz: | ||
- | DEBUG: Finished reading configuration file '/ | ||
- | DEBUG: Reading dictionary file '/ | ||
- | DEBUG: Creating authentication port 0.0.0.0: | ||
- | DEBUG: Creating authentication port 0.0.0.0: | ||
- | DEBUG: Creating accounting port 0.0.0.0: | ||
- | DEBUG: Creating accounting port 0.0.0.0: | ||
- | NOTICE: Server started: Radiator 4.2 on ldap1 | ||
- | DEBUG: Stream connected to radius1.eduroam.cz: | ||
- | DEBUG: StreamTLS sessionInit for radius1.eduroam.cz | ||
- | DEBUG: StreamTLS SSL_connect result: -1, 2, 4384 | ||
- | DEBUG: StreamTLS Client Started for radius1.eduroam.cz: | ||
- | DEBUG: Verifying certificate with Subject '/ | ||
- | DEBUG: Checking subjectAltName type 2, value radius1.eduroam.cz | ||
- | DEBUG: Certificate DNS subjectAltName radius1.eduroam.cz matches server Host name radius1.eduroam.cz | ||
- | DEBUG: StreamTLS SSL_connect result: -1, 2, 4560 | ||
- | DEBUG: StreamTLS SSL_connect result: 1, 0, 3 | ||
- | DEBUG: Stream connected to 195.113.187.22: | ||
- | DEBUG: StreamTLS sessionInit for 195.113.187.22 | ||
- | DEBUG: StreamTLS SSL_accept result: -1, 2, 8465 | ||
- | DEBUG: StreamTLS Server Started for 195.113.187.22: | ||
- | DEBUG: New StreamServer Connection created for 195.113.187.22: | ||
- | DEBUG: StreamTLS SSL_accept result: -1, 2, 8576 | ||
- | DEBUG: Verifying certificate with Subject '/ | ||
- | DEBUG: Checking subjectAltName type 2, value radius1.eduroam.cz | ||
- | DEBUG: Certificate Subject matches TLS_ExpectedPeerName | ||
- | DEBUG: StreamTLS SSL_accept result: 1, 0, 3 | ||
- | </ | ||
- | |||
- | Sestavení spojení lze také zkontrolovat pomocí utility '' | ||
- | |||
- | < | ||
- | ldap1:~# netstat -tn |grep 195.113.187.22 | ||
- | tcp 0 0 195.113.144.226: | ||
- | tcp 0 0 195.113.144.226: | ||
- | </ | ||
- | |||
- | Tím je konfigurace RadSec dokončena. | ||
- | |||
- | ===== Poznámky ===== | ||
- | |||
- | Radiator neumožnuje reload CRL v případě, že se změní. Chyba není ani tak v Radiatoru, jako spíš v OpenSSL. Po změně revokačního listu je nutné server restartovat. K stahování CRL doporučuji používát [[http:// | ||
- | |||
- | Pro správnou funkci ověřování certifikátů je třeba Net::SSLeay alespoň verze 1.30. Pro RHEL4 je možné stáhnout verzi 1.31 z [[http:// | ||
- | |||
- | Na rozdíl od [[cs: | ||
- | |||
- | Sdílené tajemství je vzhledem k použití TLS zbytečné, musí ale být na všech koncích nastaveno stejně. Používáme '' | ||
- | |||
- | Na FW je nutné povolit příchozí TCP komunikaci na portu 2083 a odchozí TCP komunikaci na port 2083. | ||
- | |||
- | Pokud provádíte přechod z IPsec na RadSec, je nutné zastavit '' |