V aktuální situaci existují a souběžně běží dvě generace národního RADIUSu. Zjednodušeně ji budeme označovat jako stará generace (radius1.eduroam.cz) a nová generace (flr[1-3].eduroam.cz).
Obě generace národních RADIUSů jsou propojené a požadavky si mezi sebou předávají, např. pokud jeden realm je zapojený do staré a druhý realm do nové. Zároveň lze provozovat situaci pokud má realm více RADIUSů a každý z nich komunikuje s jinou generací národního RADIUSu.
Toto je označení nástupní (nové) generace národního RADIUSu, která je složena ze tří RADIUS serverů, které jsou všechny tři na stejné úrovni. Jsou dostupné na následujících anycastových adresách:
Na všech třech je použitá CA eduPKI CA.
Novou generaci monitoruje i nový monitoring, který je dostupný na těchto adresách:
Dokumentace monitoringu je dostupná zde.
Jde o stávající, předchozí (starou) generaci národního RADIUSu, který se na venek prezentuje jako jedno jméno/adresa:
Starou generaci má na starosti monitorovat ermon:
Dokumentace monitoringu je dostupná zde.
Je třeba aby:
Je třeba aby:
monitoring.eduroam.cz
. (monitoring)monitoring.eduroam.cz
. (monitoring)Lze použít NAT, pokud je zajištěn překlad potřebných portů.
FW dále musí mít:
Sdílené tajemství RADIUS protokolu je radsec
.
Pro ověření funkčnosti spojení RadSec se používá test v monitoringu, který před ověřením spojení odesílá požadavek pod uživatelem status@flr.eduroam.cz, který je záměrně zakončen na národních RADIUSech odpovědí Access-Reject. Používá se jako impulz pro navázání spojení pro případ, kdy není aktivita na RADIUSu organizace.
Lze provozovat na veřejných IPv4/IPv6 adresách nebo alternativně na privátních pomocí NAT Traversal.
FW dále musí mít:
flr[1-3].eduroam.cz
).
Sdílené tajemství RADIUS protokolu je ipsec
.
Radiator | FreeRADIUS | Microsoft NPS | Cisco | |||
---|---|---|---|---|---|---|
4.17 | v2 | v3 | 2012 R2 | ACS v4.2 | ISE 2.1 | |
RFC 2865; RADIUS | ANO | ANO | ANO | ANO | ANO | ANO |
RFC 3580; EAP | ANO | ANO | ANO | ANO | ANO | ANO |
proxy podle realmu v User-Name | ANO | ANO | ANO | ANO | ANO | ANO |
filtrování atributů | ANO | ANO | ANO | ANO | ANO | ANO |
RFC 6614; RadSec | ANO | NE | ANO | NE | NE | NE |
RFC 5997; Server-Status | ANO | ??? | ANO | NE | NE | NE |
Operator-Name | ANO | ANO | ANO | NE | NE | ANO |
Chargeable-User-Identity | ANO | ANO | ANO | NE | NE | ANO1 |
Zakázáno tunelování vnitřní identity | ANO | ANO | ANO | ANO | ANO | ANO |
Vynucení shody vnitřní & vnější identity | ANO | ANO | ANO | ANO | ANO | ANO |
eduroam.cz kompatibilita | plná | EoL | plná | částečná | EoL | plná |
RFC 2865 - podpora základního RADIUS protokolu
RFC 3580 - podpora protokolu EAP, ověřování uživatelů pomocí IEEE 802.1X. Bez této podpory není RADIUS použitelný k ověřování uživatelů.
proxy podle realmu v User-Name - uživatelé v eduroamu používají uživatelská jména ve tvaru uid@realm.cz. RADIUS server musí být schopen předávat (proxy(ovat)) požadavky které obsahují jiný realm než jeho vlastní na nadřazený server.
filtrování atributů - některé připojené organizace posílají s odpovědí AV páry určující, do jaké VLAN má být uživatel umístěn. Musíte zajistit odstranění těchto AV párů, aby nedošlo k průnikům hostů do těch oblastí Vaší sítě, kam je nechcete pustit. Jedná se především o: Tunnel-Private-Group-ID
, Tunnel-Type
a Tunnel-Medium-Type
. Odpověď obsahující AV pár Tunnel-Private-Group-ID = 1:666
identifkuje testovací účet. Měli byste zajistit, aby takto označené účty nemohly ve Vaší síti získat přístup ke konektivitě. U eduroam je jedna z možností tuto VLAN definovat jako “slepou”.
RFC 6614; RadSec - transport RADIUS protokolu přes TLS spojení
RFC 5997; Server-Status - Schopnost RADIUS serveru hlasit svuj stav a testovat stav partneru pomoci kodu 12 RADIUS protokolu. eduroamu se vyuziva pro lepsi detekci nefunkcnich serveru.
Operator-Name - V Access-Request je v tomto atributu přenášena identifikace navštíveného SP, pokud to RADIUS server neumí, tak tuto informaci doplňuje národní RADIUS. Servery které Operator-Name nepodporují, nesmí být použity pro obsluhu více organizací.
Chargeable-User-Identity - Identifikátr uživatele unikátní pro každé SP. Identifikátor který uživatel nedovede ovlivnit, narozdíl od MAC adresy anebo použitím vnější anonymní identity.
1 Neumí generovat dynamicky na základě Operator-Name, viz detaily.
CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
support@cesnet.cz