Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze | ||
cs:spravce:pripojovani:radsec:radsecproxy [2015/11/24 14:03] jan.tomasek@cesnet.cz |
cs:spravce:pripojovani:radsec:radsecproxy [2022/01/20 14:22] (aktuální) Jan.Belina@cesnet.cz Přechod z xterm na code |
||
---|---|---|---|
Řádek 1: | Řádek 1: | ||
+ | Návod je zastaralý a neduržovaný - aktuální verze je [[:cs:spravce:pripojovani:radsec:uvod|zde]]. | ||
+ | |||
+ | |||
===== Konfigurace radsecproxy ===== | ===== Konfigurace radsecproxy ===== | ||
Řádek 16: | Řádek 19: | ||
==== Příklad konfigurace ==== | ==== Příklad konfigurace ==== | ||
- | Nejprve je třeba nastavit parametry TLS. **Národní RADIUS používá certifikát vydaný [[http://pki.cesnet.cz/en/ch-cca-crt-crl.html|CESNET CA3]]**. | + | Nejprve je třeba nastavit parametry TLS. **Národní RADIUS používá certifikát vydaný [[https://pki.cesnet.cz/cs/ch-cca-crt-crl.html#cesnet_ca_4|CESNET CA4]]**. |
- | <xterm> | + | <code> |
tls default { | tls default { | ||
CACertificatePath /etc/ssl/certs | CACertificatePath /etc/ssl/certs | ||
- | CertificateFile /etc/ssl/certs/ipsec_**certifikat**.crt.pem | + | CertificateFile /etc/ssl/certs/ipsec_certifikat.crt.pem |
- | CertificateKeyFile /etc/ssl/private/ipsec_**certifikat**.key.pem | + | CertificateKeyFile /etc/ssl/private/ipsec_certifikat.key.pem |
- | # CertificateKeyPassword **password** | + | # CertificateKeyPassword password |
} | } | ||
- | </xterm> | + | </code> |
Následuje definice UDP RADIUS serveru, na který budou posílány dotazy, které přijme //radsecproxy// po RadSec z //eduroam//u. | Následuje definice UDP RADIUS serveru, na který budou posílány dotazy, které přijme //radsecproxy// po RadSec z //eduroam//u. | ||
- | <xterm> | + | <code> |
server localhost { | server localhost { | ||
port 1812 | port 1812 | ||
Řádek 37: | Řádek 40: | ||
statusserver on | statusserver on | ||
} | } | ||
- | </xterm> | + | </code> |
Definice UDP portu, na kterém bude //radsecproxy// poslouchat, a také definice klienta, od kterého bude akceptovat data. | Definice UDP portu, na kterém bude //radsecproxy// poslouchat, a také definice klienta, od kterého bude akceptovat data. | ||
- | <xterm> | + | <code> |
ListenUDP localhost:11812 | ListenUDP localhost:11812 | ||
client localhost { | client localhost { | ||
Řádek 47: | Řádek 50: | ||
secret radsec | secret radsec | ||
} | } | ||
- | </xterm> | + | </code> |
Definice národního RADIUS serveru v rolích klient a server pro RadSec. | Definice národního RADIUS serveru v rolích klient a server pro RadSec. | ||
- | <xterm> | + | <code> |
client radius1.eduroam.cz { | client radius1.eduroam.cz { | ||
type tls | type tls | ||
Řádek 62: | Řádek 65: | ||
statusserver on | statusserver on | ||
} | } | ||
- | </xterm> | + | </code> |
Definice lokálního realmu, který bude předáván RADIUS serveru ''localhost'' (tj. původnímu RADIUS serveru). | Definice lokálního realmu, který bude předáván RADIUS serveru ''localhost'' (tj. původnímu RADIUS serveru). | ||
- | <xterm> | + | <code> |
- | realm **lokalni-realm.cz** { | + | realm lokalni-realm.cz { |
server localhost | server localhost | ||
} | } | ||
- | </xterm> | + | </code> |
Všechny ostatní realmy budou předávány na národní RADIUS server. | Všechny ostatní realmy budou předávány na národní RADIUS server. | ||
- | <xterm> | + | <code> |
realm * { | realm * { | ||
server radius1.eduroam.cz | server radius1.eduroam.cz | ||
} | } | ||
- | </xterm> | + | </code> |
Řádek 86: | Řádek 89: | ||
Je třeba upravit ''realm DEFAULT'' v souboru ''proxy.conf''. Místo ''radius1.eduroam.cz:1812'' zadejte ''localhost:11812''. | Je třeba upravit ''realm DEFAULT'' v souboru ''proxy.conf''. Místo ''radius1.eduroam.cz:1812'' zadejte ''localhost:11812''. | ||
- | <xterm> | + | <code> |
realm DEFAULT { | realm DEFAULT { | ||
type = radius | type = radius | ||
Řádek 93: | Řádek 96: | ||
nostrip | nostrip | ||
} | } | ||
- | </xterm> | + | </code> |
Dále je třeba upravit soubor ''clients.conf'' a přidat do něj sekci definující //radsecproxy// jako lokálního klienta. | Dále je třeba upravit soubor ''clients.conf'' a přidat do něj sekci definující //radsecproxy// jako lokálního klienta. | ||
- | <xterm> | + | <code> |
client localhost { | client localhost { | ||
secret = radsec | secret = radsec | ||
shortname = radsecproxy | shortname = radsecproxy | ||
} | } | ||
- | </xterm> | + | </code> |
==== Ladění ==== | ==== Ladění ==== |