Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze | ||
cs:spravce:pripojovani:souhrn [2018/09/07 09:04] jan.tomasek@cesnet.cz [Server organizace] |
cs:spravce:pripojovani:souhrn [2024/05/17 17:23] (aktuální) Jan Čáslavský |
||
---|---|---|---|
Řádek 1: | Řádek 1: | ||
====== Souhrn technických parametrů ====== | ====== Souhrn technických parametrů ====== | ||
+ | |||
===== Národní RADIUS server ===== | ===== Národní RADIUS server ===== | ||
- | Jméno: radius1.eduroam.cz\\ | + | V aktuální situaci existují a souběžně běží dvě generace národního RADIUSu. Zjednodušeně ji budeme označovat jako **stará generace** (//radius1.eduroam.cz//) a **nová generace** (//flr[1-3].eduroam.cz//). |
- | Použitá CA: [[http://pki.cesnet.cz/cs/ch-cca-crt-crl.html|CESNET CA3]]\\ | + | |
- | Konfigurace: HA o dvou uzlech (aktivní + standby) | + | Obě generace národních RADIUSů jsou propojené a požadavky si mezi sebou předávají, např. pokud jeden realm je zapojený do staré a druhý realm do nové. Zároveň lze provozovat situaci pokud má realm více RADIUSů a každý z nich komunikuje s jinou generací národního RADIUSu. |
+ | |||
+ | ==== flr[1-3].eduroam.cz ==== | ||
+ | |||
+ | {{ :cs:spravce:pripojovani:flr123-struktura.png?nolink&600| }} | ||
+ | |||
+ | Toto je označení nástupní (nové) generace národního RADIUSu, která je složena ze tří RADIUS serverů, které jsou všechny tři na stejné úrovni. | ||
+ | Jsou dostupné na následujících anycastových adresách: | ||
+ | |||
+ | {{page>[:cs:spravce:pripojovani:souhrn:frag_flr]}} | ||
+ | |||
+ | Na všech třech je použitá CA [[https://www.edupki.org/edupki-ca|eduPKI CA]].\\ | ||
+ | |||
+ | Novou generaci monitoruje i nový monitoring, který je dostupný na těchto adresách: | ||
+ | |||
+ | {{page>[:cs:spravce:pripojovani:souhrn:frag_monitoring]}} | ||
+ | |||
+ | Dokumentace monitoringu je dostupná [[cs:spravce:monitoring|zde]]. | ||
+ | |||
+ | ==== radius1.eduroam.cz ==== | ||
+ | |||
+ | Jde o stávající, předchozí (starou) generaci národního RADIUSu, který se na venek prezentuje jako jedno jméno/adresa: | ||
+ | |||
+ | * **radius1.eduroam.cz** | ||
+ | * IPv4: 195.113.187.22 | ||
+ | |||
+ | Starou generaci má na starosti monitorovat ermon: | ||
+ | |||
+ | * **ermon.cesnet.cz** | ||
+ | * IPv4: 195.113.233.246 | ||
+ | * IPv6: 2001:718:1:e::233:246 | ||
+ | |||
+ | Dokumentace monitoringu je dostupná [[cs:spravce:monitoring:old|zde]]. | ||
===== WiFi infrastruktura organizace ===== | ===== WiFi infrastruktura organizace ===== | ||
Řádek 17: | Řádek 51: | ||
Je třeba aby: | Je třeba aby: | ||
- | * odpovídal na ICMP echo request z ermon.cesnet.cz. ([[cs:spravce:monitoring:uvod|monitoring]]) | + | * odpovídal na ICMP echo request z ''monitoring.eduroam.cz''. ([[cs:spravce:monitoring|monitoring]]) |
- | * měl otevřený port UDP/1812 z ermon.cesnet.cz. ([[cs:spravce:monitoring:uvod|monitoring]]) | + | * měl otevřený port UDP/1812 z ''monitoring.eduroam.cz''. ([[cs:spravce:monitoring|monitoring]]) |
==== používající RadSec ==== | ==== používající RadSec ==== | ||
Řádek 25: | Řádek 59: | ||
FW dále musí mít: | FW dále musí mít: | ||
- | * otevřený port TCP/2083 z radius1.eduroam.cz. ([[cs:spravce:pripojovani:radsec:uvod|RadSec]])\\ | + | * otevřený port TCP/2083 z národních RADIUSů (''flr[1-3].eduroam.cz''). ([[cs:spravce:pripojovani:protokol_pripojeni|RadSec]])\\ |
Sdílené tajemství RADIUS protokolu je ''radsec''. | Sdílené tajemství RADIUS protokolu je ''radsec''. | ||
Řádek 31: | Řádek 65: | ||
==== používající IPsec ==== | ==== používající IPsec ==== | ||
- | Nezbytností veřejná IPv4 adresa. | + | Lze provozovat na veřejných IPv4/IPv6 adresách nebo alternativně na privátních pomocí NAT Traversal. |
FW dále musí mít: | FW dále musí mít: | ||
- | * otevřenou komunikaci pro ICMP echo request z radius1.eduroam.cz. | + | * otevřenou komunikaci pro ICMP echo request z národních RADIUSů (''flr[1-3].eduroam.cz''). |
- | * otevřený port UDP/500 z radius1.eduroam.cz. ([[cs:spravce:pripojovani:ipsec:uvod|IPsec]])\\ | + | * otevřený port UDP/500 z národních RADIUSů (''flr[1-3].eduroam.cz''). ([[cs:spravce:pripojovani:protokol_pripojeni|IPsec]])\\ |
- | * otevřenou komunikaci pro ESP protokol. ([[cs:spravce:pripojovani:ipsec:uvod|IPsec]])\\ | + | * otevřenou komunikaci pro ESP protokol nebo otevřený port UDP/4500 při použití NAT Traversal. ([[cs:spravce:pripojovani:protokol_pripojeni|IPsec]]) |
- | * doporučeno reject na portu UDP/4500 z radius1.eduroam.cz. ([[cs:spravce:pripojovani:ipsec:uvod|IPsec]])\\ | + | |
- | Sdílené tajemství RADIUS protokolu je unikátní pro každý server a naleznete ho v [[cs:spravce:info#definice_radius_serveru|CESNET CAAS]]. | + | Sdílené tajemství RADIUS protokolu je ''ipsec''. |
==== Požadavky na RADIUS server ==== | ==== Požadavky na RADIUS server ==== |