Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze Následující verze Obě strany příští revize | ||
cs:spravce:pripojovani:souhrn [2017/03/07 08:39] jan.tomasek@cesnet.cz [Požadavky na RADIUS server] |
cs:spravce:pripojovani:souhrn [2018/09/07 09:04] jan.tomasek@cesnet.cz [Server organizace] |
||
---|---|---|---|
Řádek 6: | Řádek 6: | ||
Použitá CA: [[http://pki.cesnet.cz/cs/ch-cca-crt-crl.html|CESNET CA3]]\\ | Použitá CA: [[http://pki.cesnet.cz/cs/ch-cca-crt-crl.html|CESNET CA3]]\\ | ||
Konfigurace: HA o dvou uzlech (aktivní + standby) | Konfigurace: HA o dvou uzlech (aktivní + standby) | ||
+ | |||
+ | ===== WiFi infrastruktura organizace ===== | ||
+ | |||
+ | Je třeba aby: | ||
+ | * vysílala essid "eduroam" - vše malými písmeny | ||
+ | * ověřovala uživatele protokolem IEEE 802.1X | ||
+ | * používala šifrování WPA2+AES a případně lepší | ||
===== Server organizace ===== | ===== Server organizace ===== | ||
Řádek 36: | Řádek 43: | ||
==== Požadavky na RADIUS server ==== | ==== Požadavky na RADIUS server ==== | ||
- | | ^ Radiator ^ FreeRADIUS ^^ Microsoft NPS ^ Cisco || | + | | ^ Radiator ^ FreeRADIUS ^^ Microsoft NPS ^ Cisco || |
|::: ^ 4.17 ^ v2 ^ v3 ^ 2012 R2 ^ ACS v4.2 ^ [[cisco_ise_2|ISE 2.1]] | | |::: ^ 4.17 ^ v2 ^ v3 ^ 2012 R2 ^ ACS v4.2 ^ [[cisco_ise_2|ISE 2.1]] | | ||
^ RFC 2865; RADIUS | **ANO** | **ANO** | **ANO** | **ANO** | **ANO** | **ANO** | | ^ RFC 2865; RADIUS | **ANO** | **ANO** | **ANO** | **ANO** | **ANO** | **ANO** | | ||
^ RFC 3580; EAP | **ANO** | **ANO** | **ANO** | **ANO** | **ANO** | **ANO** | | ^ RFC 3580; EAP | **ANO** | **ANO** | **ANO** | **ANO** | **ANO** | **ANO** | | ||
^ proxy podle realmu v User-Name | **ANO** | **ANO** | **ANO** | **ANO** | **ANO** | **ANO** | | ^ proxy podle realmu v User-Name | **ANO** | **ANO** | **ANO** | **ANO** | **ANO** | **ANO** | | ||
+ | ^ filtrování atributů | **ANO** | **ANO** | **ANO** | **ANO** | **ANO** | **ANO** | | ||
^ RFC 6614; RadSec | **ANO** | **NE** | **ANO** | **NE** | **NE** | **NE** | | ^ RFC 6614; RadSec | **ANO** | **NE** | **ANO** | **NE** | **NE** | **NE** | | ||
^ RFC 5997; Server-Status | **ANO** | ??? | **ANO** | **NE** | **NE** | **NE** | | ^ RFC 5997; Server-Status | **ANO** | ??? | **ANO** | **NE** | **NE** | **NE** | | ||
^ Operator-Name | **ANO** | **ANO** | **ANO** | **NE** | **NE** | **ANO** | | ^ Operator-Name | **ANO** | **ANO** | **ANO** | **NE** | **NE** | **ANO** | | ||
- | ^ Chargeable-User-Identity | **ANO** | **ANO** | **ANO** | **NE** | **NE** | **NE** | | + | ^ Chargeable-User-Identity | **ANO** | **ANO** | **ANO** | **NE** | **NE** | **ANO**<sup>1</sup> | |
^ Zakázáno tunelování vnitřní identity | **ANO** | **ANO** | **ANO** | **ANO** | **ANO** | **ANO** | | ^ Zakázáno tunelování vnitřní identity | **ANO** | **ANO** | **ANO** | **ANO** | **ANO** | **ANO** | | ||
^ Vynucení shody vnitřní & vnější identity | **ANO** | **ANO** | **ANO** | **ANO** | **ANO** | **ANO** | | ^ Vynucení shody vnitřní & vnější identity | **ANO** | **ANO** | **ANO** | **ANO** | **ANO** | **ANO** | | ||
| | | | | | | | | | | | ||
- | | eduroam.cz kompatibilita | plná | EoL | plná | částečná | [[https://web.archive.org/web/20151029050557/http://www.cisco.com/c/en/us/products/collateral/security/secure-access-control-server-windows/end_of_life_notice_c51-664639.html|EoL]] | částečná | | + | | eduroam.cz kompatibilita | plná | EoL | plná | částečná | [[https://web.archive.org/web/20151029050557/http://www.cisco.com/c/en/us/products/collateral/security/secure-access-control-server-windows/end_of_life_notice_c51-664639.html|EoL]] | plná | |
Řádek 58: | Řádek 66: | ||
**proxy podle realmu v User-Name** - uživatelé v eduroamu používají uživatelská jména ve tvaru uid@realm.cz. RADIUS server musí být schopen předávat (proxy(ovat)) požadavky které obsahují jiný realm než jeho vlastní na nadřazený server. | **proxy podle realmu v User-Name** - uživatelé v eduroamu používají uživatelská jména ve tvaru uid@realm.cz. RADIUS server musí být schopen předávat (proxy(ovat)) požadavky které obsahují jiný realm než jeho vlastní na nadřazený server. | ||
+ | |||
+ | **filtrování atributů** - některé připojené organizace posílají s odpovědí AV páry určující, do jaké VLAN má být uživatel umístěn. Musíte zajistit odstranění těchto AV párů, aby nedošlo k průnikům hostů do těch oblastí Vaší sítě, kam je nechcete pustit. Jedná se především o: ''Tunnel-Private-Group-ID'', ''Tunnel-Type'' a ''Tunnel-Medium-Type''. Odpověď obsahující AV pár ''Tunnel-Private-Group-ID = 1:666'' identifkuje testovací účet. Měli byste zajistit, aby takto označené účty nemohly ve Vaší síti získat přístup ke konektivitě. U eduroam je jedna z možností tuto VLAN definovat jako "slepou". | ||
**[[https://tools.ietf.org/html/rfc6614|RFC 6614; RadSec]]** - transport RADIUS protokolu přes TLS spojení | **[[https://tools.ietf.org/html/rfc6614|RFC 6614; RadSec]]** - transport RADIUS protokolu přes TLS spojení | ||
Řádek 66: | Řádek 76: | ||
**Chargeable-User-Identity** - Identifikátr uživatele unikátní pro každé SP. Identifikátor který uživatel nedovede ovlivnit, narozdíl od MAC adresy anebo použitím vnější anonymní identity. | **Chargeable-User-Identity** - Identifikátr uživatele unikátní pro každé SP. Identifikátor který uživatel nedovede ovlivnit, narozdíl od MAC adresy anebo použitím vnější anonymní identity. | ||
+ | |||
+ | <sup>1</sup> Neumí generovat dynamicky na základě Operator-Name, viz [[cisco_ise_2|detaily]]. |