Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
| Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze Následující verze Obě strany příští revize | ||
|
cs:spravce:pripojovani:radsec:uvod [2018/11/01 09:56] jan.tomasek@cesnet.cz |
cs:spravce:pripojovani:radsec:uvod [2024/03/06 16:20] Jan Bělina [Konfigurace radsecproxy] |
||
|---|---|---|---|
| Řádek 15: | Řádek 15: | ||
| RADIUS server instituce je nutné upravit tak, aby dotazy na cizí realmy posílal na //radsecproxy// poslouchající na ''radsec.realm.cz:UDP/1812'', radsecproxy se postará o přeposílání RADIUS pakety ''radius1.eduroam.cz:TCP/2083''. Odpovědi přicházejí na ''radsec.realm.cz:TCP/2083'', kde je //radsecproxy// opět převede na RADIUS pakety a předá je RADIUS serveru na ''radius.realm.cz:UDP/1812''. | RADIUS server instituce je nutné upravit tak, aby dotazy na cizí realmy posílal na //radsecproxy// poslouchající na ''radsec.realm.cz:UDP/1812'', radsecproxy se postará o přeposílání RADIUS pakety ''radius1.eduroam.cz:TCP/2083''. Odpovědi přicházejí na ''radsec.realm.cz:TCP/2083'', kde je //radsecproxy// opět převede na RADIUS pakety a předá je RADIUS serveru na ''radius.realm.cz:UDP/1812''. | ||
| - | Nejprve je třeba nastavit parametry TLS. Národní RADIUS používá certifikát vydaný [[http://pki.cesnet.cz/en/ch-cca-crt-crl.html|CESNET CA3]], stáhněte soubor [[https://pki.cesnet.cz/certs/chain_CESNET_CA3.pem|chain_CESNET_CA3]] a umístěte jej do adresáře ''/etc/ssl/certs''. | + | Nejprve je třeba nastavit parametry TLS. Národní RADIUS používá certifikát vydaný [[https://pki.cesnet.cz/cs/ch-cca-crt-crl.html|CESNET CA4]], stáhněte soubor [[https://pki.cesnet.cz/certs/chain_CESNET_CA4.pem|chain_CESNET_CA4.pem]] a umístěte jej do adresáře ''/etc/ssl/certs''. |
| - | Je důležité aby ''CertificateFile'' obsahoval certifikát který bude mít v CN hodnotu **radsec.realm.cz**, doufám že to nikdo nevezme doslova... ;) | + | Je důležité aby ''CertificateFile'' obsahoval certifikát který bude mít v CN hodnotu **radius.realm.cz**, doufám že to nikdo nevezme doslova... ;) |
| Následně vytvořte konfigurační soubor ''/etc/radsecproxy.conf'' s obsahem: | Následně vytvořte konfigurační soubor ''/etc/radsecproxy.conf'' s obsahem: | ||
| Řádek 23: | Řádek 23: | ||
| <code> | <code> | ||
| tls default { | tls default { | ||
| - | CACertificateFile /etc/ssl/certs/chain_CESNET_CA3.pem | + | CACertificateFile /etc/ssl/certs/chain_CESNET_CA4.pem |
| CertificateFile /etc/ssl/certs/**certifikat**.crt | CertificateFile /etc/ssl/certs/**certifikat**.crt | ||
| CertificateKeyFile /etc/ssl/private/**certifikat**.key | CertificateKeyFile /etc/ssl/private/**certifikat**.key | ||
| Řádek 78: | Řádek 78: | ||
| <code> | <code> | ||
| realm /myabc\.com$/ { | realm /myabc\.com$/ { | ||
| - | replymessage "Misconfigured client: default realm of Intel PRO/Wireless supplicant!" | + | replymessage "Misconfigured client: default realm of Intel PRO/Wireless supplicant!" |
| } | } | ||
| - | # zamitnuti realmu koncicich mezerou | + | realm /3gppnetwork\.org$/ { |
| - | realm /.*\s+$/ { | + | replymessage "Misconfigured client: Unsupported 3G EAP-SIM client!" |
| - | replymessage "Misconfigured client: Whitespace at the end of realm!". | + | |
| } | } | ||
| - | # Zamitnuti pozadavku bez realmu. | + | realm /\s+$/ { |
| - | realm /^$/ { | + | replymessage "Misconfigured client: Whitespace at the end!" |
| - | replymessage "Misconfigured client: empty realm!" | + | |
| } | } | ||
| </code> | </code> | ||
| - | Všechny ostatní realmy budou předávány na národní RADIUS server. | + | Ostatní požadavky budou zkontrolovány a buď předávány na národní RADIUS server, nebo zamítnuty. |
| <code> | <code> | ||
| + | realm /^.+@.+\..+$/ { | ||
| + | server radius1.eduroam.cz | ||
| + | } | ||
| + | |||
| realm * { | realm * { | ||
| - | server radius1.eduroam.cz | + | replymessage "Misconfigured client: Invalid username or realm!" |
| } | } | ||
| </code> | </code> | ||
CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
support@cesnet.cz