Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
| Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze | ||
|
cs:spravce:pripojovani:radsec:radsecproxy [2015/06/29 16:40] jan.tomasek@cesnet.cz |
cs:spravce:pripojovani:radsec:radsecproxy [2022/01/20 14:22] (aktuální) Jan.Belina@cesnet.cz Přechod z xterm na code |
||
|---|---|---|---|
| Řádek 1: | Řádek 1: | ||
| + | Návod je zastaralý a neduržovaný - aktuální verze je [[:cs:spravce:pripojovani:radsec:uvod|zde]]. | ||
| + | |||
| + | |||
| ===== Konfigurace radsecproxy ===== | ===== Konfigurace radsecproxy ===== | ||
| Řádek 16: | Řádek 19: | ||
| ==== Příklad konfigurace ==== | ==== Příklad konfigurace ==== | ||
| - | Nejprve je třeba nastavit parametry TLS. **Národní RADIUS používá certifikát vydaný [[http://pki.cesnet.cz/en/ch-cca-crt-crl.html|CESNET CA3]]**. | + | Nejprve je třeba nastavit parametry TLS. **Národní RADIUS používá certifikát vydaný [[https://pki.cesnet.cz/cs/ch-cca-crt-crl.html#cesnet_ca_4|CESNET CA4]]**. |
| - | <xterm> | + | <code> |
| tls default { | tls default { | ||
| CACertificatePath /etc/ssl/certs | CACertificatePath /etc/ssl/certs | ||
| - | CertificateFile /etc/ssl/certs/ipsec_**certifikat**.crt.pem | + | CertificateFile /etc/ssl/certs/ipsec_certifikat.crt.pem |
| - | CertificateKeyFile /etc/ssl/private/ipsec_**certifikat**.key.pem | + | CertificateKeyFile /etc/ssl/private/ipsec_certifikat.key.pem |
| - | # CertificateKeyPassword **password** | + | # CertificateKeyPassword password |
| } | } | ||
| - | </xterm> | + | </code> |
| Následuje definice UDP RADIUS serveru, na který budou posílány dotazy, které přijme //radsecproxy// po RadSec z //eduroam//u. | Následuje definice UDP RADIUS serveru, na který budou posílány dotazy, které přijme //radsecproxy// po RadSec z //eduroam//u. | ||
| - | <xterm> | + | <code> |
| server localhost { | server localhost { | ||
| port 1812 | port 1812 | ||
| type udp | type udp | ||
| - | secret mysecret | + | secret radsec |
| statusserver on | statusserver on | ||
| } | } | ||
| - | </xterm> | + | </code> |
| Definice UDP portu, na kterém bude //radsecproxy// poslouchat, a také definice klienta, od kterého bude akceptovat data. | Definice UDP portu, na kterém bude //radsecproxy// poslouchat, a také definice klienta, od kterého bude akceptovat data. | ||
| - | <xterm> | + | <code> |
| ListenUDP localhost:11812 | ListenUDP localhost:11812 | ||
| client localhost { | client localhost { | ||
| type udp | type udp | ||
| - | secret mysecret | + | secret radsec |
| } | } | ||
| - | </xterm> | + | </code> |
| Definice národního RADIUS serveru v rolích klient a server pro RadSec. | Definice národního RADIUS serveru v rolích klient a server pro RadSec. | ||
| - | <xterm> | + | <code> |
| client radius1.eduroam.cz { | client radius1.eduroam.cz { | ||
| type tls | type tls | ||
| - | secret mysecret | + | secret radsec |
| } | } | ||
| server radius1.eduroam.cz { | server radius1.eduroam.cz { | ||
| type tls | type tls | ||
| - | secret mysecret | + | secret radsec |
| statusserver on | statusserver on | ||
| } | } | ||
| - | </xterm> | + | </code> |
| Definice lokálního realmu, který bude předáván RADIUS serveru ''localhost'' (tj. původnímu RADIUS serveru). | Definice lokálního realmu, který bude předáván RADIUS serveru ''localhost'' (tj. původnímu RADIUS serveru). | ||
| - | <xterm> | + | <code> |
| - | realm **lokalni-realm.cz** { | + | realm lokalni-realm.cz { |
| server localhost | server localhost | ||
| } | } | ||
| - | </xterm> | + | </code> |
| Všechny ostatní realmy budou předávány na národní RADIUS server. | Všechny ostatní realmy budou předávány na národní RADIUS server. | ||
| - | <xterm> | + | <code> |
| realm * { | realm * { | ||
| server radius1.eduroam.cz | server radius1.eduroam.cz | ||
| } | } | ||
| - | </xterm> | + | </code> |
| Řádek 86: | Řádek 89: | ||
| Je třeba upravit ''realm DEFAULT'' v souboru ''proxy.conf''. Místo ''radius1.eduroam.cz:1812'' zadejte ''localhost:11812''. | Je třeba upravit ''realm DEFAULT'' v souboru ''proxy.conf''. Místo ''radius1.eduroam.cz:1812'' zadejte ''localhost:11812''. | ||
| - | <xterm> | + | <code> |
| realm DEFAULT { | realm DEFAULT { | ||
| type = radius | type = radius | ||
| authhost = localhost:11812 | authhost = localhost:11812 | ||
| - | secret = mysecret | + | secret = radsec |
| nostrip | nostrip | ||
| } | } | ||
| - | </xterm> | + | </code> |
| Dále je třeba upravit soubor ''clients.conf'' a přidat do něj sekci definující //radsecproxy// jako lokálního klienta. | Dále je třeba upravit soubor ''clients.conf'' a přidat do něj sekci definující //radsecproxy// jako lokálního klienta. | ||
| - | <xterm> | + | <code> |
| client localhost { | client localhost { | ||
| - | secret = mysecret | + | secret = radsec |
| shortname = radsecproxy | shortname = radsecproxy | ||
| } | } | ||
| - | </xterm> | + | </code> |
| ==== Ladění ==== | ==== Ladění ==== | ||
| Řádek 129: | Řádek 132: | ||
| ==== Poznámky ==== | ==== Poznámky ==== | ||
| + | |||
| + | 11/2015: Změna na sdílené tajemství 'radsec' které je i v RFC. | ||
| 09/2009: Na FreeBSD je nutné potřeba použít verzi 1.3.1, jinak proxy nepřijímá příchozí spojení. | 09/2009: Na FreeBSD je nutné potřeba použít verzi 1.3.1, jinak proxy nepřijímá příchozí spojení. | ||
CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
support@cesnet.cz