cs:spravce:pripojovani:souhrn

Souhrn technických parametrů

Národní RADIUS server

V aktuální situaci existují a souběžně běží dvě generace národního RADIUSu. Zjednodušeně ji budeme označovat jako stará generace (radius1.eduroam.cz) a nová generace (flr[1-3].eduroam.cz).

Obě generace národních RADIUSů jsou propojené a požadavky si mezi sebou předávají, např. pokud jeden realm je zapojený do staré a druhý realm do nové. Zároveň lze provozovat situaci pokud má realm více RADIUSů a každý z nich komunikuje s jinou generací národního RADIUSu.

flr[1-3].eduroam.cz

Toto je označení nástupní (nové) generace národního RADIUSu, která je složena ze tří RADIUS serverů, které jsou všechny tři na stejné úrovni. Jsou dostupné na následujících anycastových adresách:

  • flr1.eduroam.cz
    • IPv4: 78.128.248.10
    • IPv6: 2001:718:ff05:aca::1:10
  • flr2.eduroam.cz
    • IPv4: 78.128.248.11
    • IPv6: 2001:718:ff05:aca::1:11
  • flr3.eduroam.cz
    • IPv4: 78.128.248.12
    • IPv6: 2001:718:ff05:aca::1:12

Na všech třech je použitá CA eduPKI CA.

Novou generaci monitoruje i nový monitoring, který je dostupný na těchto adresách:

  • monitoring.eduroam.cz
    • IPv4: 78.128.248.234
    • IPv6: 2001:718:ff05:10b::234

Dokumentace monitoringu je dostupná zde.

radius1.eduroam.cz

Jde o stávající, předchozí (starou) generaci národního RADIUSu, který se na venek prezentuje jako jedno jméno/adresa:

  • radius1.eduroam.cz
    • IPv4: 195.113.187.22

Starou generaci má na starosti monitorovat ermon:

  • ermon.cesnet.cz
    • IPv4: 195.113.233.246
    • IPv6: 2001:718:1:e::233:246

Dokumentace monitoringu je dostupná zde.

WiFi infrastruktura organizace

Je třeba aby:

  • vysílala essid „eduroam“ - vše malými písmeny
  • ověřovala uživatele protokolem IEEE 802.1X
  • používala šifrování WPA2+AES a případně lepší

Server organizace

Je třeba aby:

  • odpovídal na ICMP echo request z monitoring.eduroam.cz. (monitoring)
  • měl otevřený port UDP/1812 z monitoring.eduroam.cz. (monitoring)

používající RadSec

Lze použít NAT, pokud je zajištěn překlad potřebných portů.

FW dále musí mít:

  • otevřený port TCP/2083 z národních RADIUSů (flr[1-3].eduroam.cz). (RadSec)

Sdílené tajemství RADIUS protokolu je radsec.

Pro ověření funkčnosti spojení RadSec se používá test v monitoringu, který před ověřením spojení odesílá požadavek pod uživatelem status@flr.eduroam.cz, který je záměrně zakončen na národních RADIUSech odpovědí Access-Reject. Používá se jako impulz pro navázání spojení pro případ, kdy není aktivita na RADIUSu organizace.

používající IPsec

Lze provozovat na veřejných IPv4/IPv6 adresách nebo alternativně na privátních pomocí NAT Traversal.

FW dále musí mít:

  • otevřenou komunikaci pro ICMP echo request z národních RADIUSů (flr[1-3].eduroam.cz).
  • otevřený port UDP/500 z národních RADIUSů (flr[1-3].eduroam.cz). (IPsec)
  • otevřenou komunikaci pro ESP protokol nebo otevřený port UDP/4500 při použití NAT Traversal. (IPsec)

Sdílené tajemství RADIUS protokolu je ipsec.

Požadavky na RADIUS server

Radiator FreeRADIUS Microsoft NPS Cisco
4.17 v2 v3 2012 R2 ACS v4.2 ISE 2.1
RFC 2865; RADIUS ANO ANO ANO ANO ANO ANO
RFC 3580; EAP ANO ANO ANO ANO ANO ANO
proxy podle realmu v User-Name ANO ANO ANO ANO ANO ANO
filtrování atributů ANO ANO ANO ANO ANO ANO
RFC 6614; RadSec ANO NE ANO NE NE NE
RFC 5997; Server-Status ANO ??? ANO NE NE NE
Operator-Name ANO ANO ANO NE NE ANO
Chargeable-User-Identity ANO ANO ANO NE NE ANO1
Zakázáno tunelování vnitřní identity ANO ANO ANO ANO ANO ANO
Vynucení shody vnitřní & vnější identity ANO ANO ANO ANO ANO ANO
eduroam.cz kompatibilita plná EoL plná částečná EoL plná
Vysvětlivky

RFC 2865 - podpora základního RADIUS protokolu

RFC 3580 - podpora protokolu EAP, ověřování uživatelů pomocí IEEE 802.1X. Bez této podpory není RADIUS použitelný k ověřování uživatelů.

proxy podle realmu v User-Name - uživatelé v eduroamu používají uživatelská jména ve tvaru uid@realm.cz. RADIUS server musí být schopen předávat (proxy(ovat)) požadavky které obsahují jiný realm než jeho vlastní na nadřazený server.

filtrování atributů - některé připojené organizace posílají s odpovědí AV páry určující, do jaké VLAN má být uživatel umístěn. Musíte zajistit odstranění těchto AV párů, aby nedošlo k průnikům hostů do těch oblastí Vaší sítě, kam je nechcete pustit. Jedná se především o: Tunnel-Private-Group-ID, Tunnel-Type a Tunnel-Medium-Type. Odpověď obsahující AV pár Tunnel-Private-Group-ID = 1:666 identifkuje testovací účet. Měli byste zajistit, aby takto označené účty nemohly ve Vaší síti získat přístup ke konektivitě. U eduroam je jedna z možností tuto VLAN definovat jako „slepou“.

RFC 6614; RadSec - transport RADIUS protokolu přes TLS spojení

RFC 5997; Server-Status - Schopnost RADIUS serveru hlasit svuj stav a testovat stav partneru pomoci kodu 12 RADIUS protokolu. eduroamu se vyuziva pro lepsi detekci nefunkcnich serveru.

Operator-Name - V Access-Request je v tomto atributu přenášena identifikace navštíveného SP, pokud to RADIUS server neumí, tak tuto informaci doplňuje národní RADIUS. Servery které Operator-Name nepodporují, nesmí být použity pro obsluhu více organizací.

Chargeable-User-Identity - Identifikátr uživatele unikátní pro každé SP. Identifikátor který uživatel nedovede ovlivnit, narozdíl od MAC adresy anebo použitím vnější anonymní identity.

1 Neumí generovat dynamicky na základě Operator-Name, viz detaily.

Poslední úprava:: 2024/06/26 17:56