cs:spravce:pripojovani:souhrn

Souhrn technických parametrů

Národní RADIUS server

Jméno: radius1.eduroam.cz
Použitá CA: CESNET CA3
Konfigurace: HA o dvou uzlech (aktivní + standby)

WiFi infrastruktura organizace

Je třeba aby:

  • vysílala essid „eduroam“ - vše malými písmeny
  • ověřovala uživatele protokolem IEEE 802.1X
  • používala šifrování WPA2+AES a případně lepší

Server organizace

Je třeba aby:

  • odpovídal na ICMP echo request z ermon.cesnet.cz. (monitoring)
  • měl otevřený port UDP/1812 z ermon.cesnet.cz. (monitoring)

používající RadSec

Lze použít NAT, pokud je zajištěn překlad potřebných portů.

FW dále musí mít:

  • otevřený port TCP/2083 z radius1.eduroam.cz. (RadSec)

Sdílené tajemství RADIUS protokolu je radsec.

používající IPsec

Nezbytností veřejná IPv4 adresa.

FW dále musí mít:

  • otevřenou komunikaci pro ICMP echo request z radius1.eduroam.cz.
  • otevřený port UDP/500 z radius1.eduroam.cz. (IPsec)
  • otevřenou komunikaci pro ESP protokol. (IPsec)
  • doporučeno reject na portu UDP/4500 z radius1.eduroam.cz. (IPsec)

Sdílené tajemství RADIUS protokolu je unikátní pro každý server a naleznete ho v CESNET CAAS.

Požadavky na RADIUS server

Radiator FreeRADIUS Microsoft NPS Cisco
4.17 v2 v3 2012 R2 ACS v4.2 ISE 2.1
RFC 2865; RADIUS ANO ANO ANO ANO ANO ANO
RFC 3580; EAP ANO ANO ANO ANO ANO ANO
proxy podle realmu v User-Name ANO ANO ANO ANO ANO ANO
filtrování atributů ANO ANO ANO ANO ANO ANO
RFC 6614; RadSec ANO NE ANO NE NE NE
RFC 5997; Server-Status ANO ??? ANO NE NE NE
Operator-Name ANO ANO ANO NE NE ANO
Chargeable-User-Identity ANO ANO ANO NE NE ANO1
Zakázáno tunelování vnitřní identity ANO ANO ANO ANO ANO ANO
Vynucení shody vnitřní & vnější identity ANO ANO ANO ANO ANO ANO
eduroam.cz kompatibilita plná EoL plná částečná EoL plná
Vysvětlivky

RFC 2865 - podpora základního RADIUS protokolu

RFC 3580 - podpora protokolu EAP, ověřování uživatelů pomocí IEEE 802.1X. Bez této podpory není RADIUS použitelný k ověřování uživatelů.

proxy podle realmu v User-Name - uživatelé v eduroamu používají uživatelská jména ve tvaru uid@realm.cz. RADIUS server musí být schopen předávat (proxy(ovat)) požadavky které obsahují jiný realm než jeho vlastní na nadřazený server.

filtrování atributů - některé připojené organizace posílají s odpovědí AV páry určující, do jaké VLAN má být uživatel umístěn. Musíte zajistit odstranění těchto AV párů, aby nedošlo k průnikům hostů do těch oblastí Vaší sítě, kam je nechcete pustit. Jedná se především o: Tunnel-Private-Group-ID, Tunnel-Type a Tunnel-Medium-Type. Odpověď obsahující AV pár Tunnel-Private-Group-ID = 1:666 identifkuje testovací účet. Měli byste zajistit, aby takto označené účty nemohly ve Vaší síti získat přístup ke konektivitě. U eduroam je jedna z možností tuto VLAN definovat jako „slepou“.

RFC 6614; RadSec - transport RADIUS protokolu přes TLS spojení

RFC 5997; Server-Status - Schopnost RADIUS serveru hlasit svuj stav a testovat stav partneru pomoci kodu 12 RADIUS protokolu. eduroamu se vyuziva pro lepsi detekci nefunkcnich serveru.

Operator-Name - V Access-Request je v tomto atributu přenášena identifikace navštíveného SP, pokud to RADIUS server neumí, tak tuto informaci doplňuje národní RADIUS. Servery které Operator-Name nepodporují, nesmí být použity pro obsluhu více organizací.

Chargeable-User-Identity - Identifikátr uživatele unikátní pro každé SP. Identifikátor který uživatel nedovede ovlivnit, narozdíl od MAC adresy anebo použitím vnější anonymní identity.

1 Neumí generovat dynamicky na základě Operator-Name, viz detaily.

Poslední úprava:: 2018/09/07 09:04