Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
| Obě strany předchozí revize Předchozí verze | Následující verze Obě strany příští revize | ||
|
cs:spravce:pripojovani:souhrn [2017/03/17 15:44] jan.tomasek@cesnet.cz |
cs:spravce:pripojovani:souhrn [2017/05/10 15:47] jan.tomasek@cesnet.cz [Požadavky na RADIUS server] |
||
|---|---|---|---|
| Řádek 36: | Řádek 36: | ||
| ==== Požadavky na RADIUS server ==== | ==== Požadavky na RADIUS server ==== | ||
| - | | ^ Radiator ^ FreeRADIUS ^^ Microsoft NPS ^ Cisco || | + | | ^ Radiator ^ FreeRADIUS ^^ Microsoft NPS ^ Cisco || |
| |::: ^ 4.17 ^ v2 ^ v3 ^ 2012 R2 ^ ACS v4.2 ^ [[cisco_ise_2|ISE 2.1]] | | |::: ^ 4.17 ^ v2 ^ v3 ^ 2012 R2 ^ ACS v4.2 ^ [[cisco_ise_2|ISE 2.1]] | | ||
| ^ RFC 2865; RADIUS | **ANO** | **ANO** | **ANO** | **ANO** | **ANO** | **ANO** | | ^ RFC 2865; RADIUS | **ANO** | **ANO** | **ANO** | **ANO** | **ANO** | **ANO** | | ||
| ^ RFC 3580; EAP | **ANO** | **ANO** | **ANO** | **ANO** | **ANO** | **ANO** | | ^ RFC 3580; EAP | **ANO** | **ANO** | **ANO** | **ANO** | **ANO** | **ANO** | | ||
| ^ proxy podle realmu v User-Name | **ANO** | **ANO** | **ANO** | **ANO** | **ANO** | **ANO** | | ^ proxy podle realmu v User-Name | **ANO** | **ANO** | **ANO** | **ANO** | **ANO** | **ANO** | | ||
| + | ^ filtrování atributů | **ANO** | **ANO** | **ANO** | **ANO** | **ANO** | **ANO** | | ||
| ^ RFC 6614; RadSec | **ANO** | **NE** | **ANO** | **NE** | **NE** | **NE** | | ^ RFC 6614; RadSec | **ANO** | **NE** | **ANO** | **NE** | **NE** | **NE** | | ||
| ^ RFC 5997; Server-Status | **ANO** | ??? | **ANO** | **NE** | **NE** | **NE** | | ^ RFC 5997; Server-Status | **ANO** | ??? | **ANO** | **NE** | **NE** | **NE** | | ||
| Řádek 58: | Řádek 59: | ||
| **proxy podle realmu v User-Name** - uživatelé v eduroamu používají uživatelská jména ve tvaru uid@realm.cz. RADIUS server musí být schopen předávat (proxy(ovat)) požadavky které obsahují jiný realm než jeho vlastní na nadřazený server. | **proxy podle realmu v User-Name** - uživatelé v eduroamu používají uživatelská jména ve tvaru uid@realm.cz. RADIUS server musí být schopen předávat (proxy(ovat)) požadavky které obsahují jiný realm než jeho vlastní na nadřazený server. | ||
| + | |||
| + | **filtrování atributů** - některé připojené organizace posílají s odpovědí AV páry určující, do jaké VLAN má být uživatel umístěn. Musíte zajistit odstranění těchto AV párů, aby nedošlo k průnikům hostů do těch oblastí Vaší sítě, kam je nechcete pustit. Jedná se především o: ''Tunnel-Private-Group-ID'', ''Tunnel-Type'' a ''Tunnel-Medium-Type''. Odpověď obsahující AV pár ''Tunnel-Private-Group-ID = 1:666'' identifkuje testovací účet. Měli byste zajistit, aby takto označené účty nemohly ve Vaší síti získat přístup ke konektivitě. U eduroam je jedna z možností tuto VLAN definovat jako "slepou". | ||
| **[[https://tools.ietf.org/html/rfc6614|RFC 6614; RadSec]]** - transport RADIUS protokolu přes TLS spojení | **[[https://tools.ietf.org/html/rfc6614|RFC 6614; RadSec]]** - transport RADIUS protokolu přes TLS spojení | ||
CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
support@cesnet.cz