Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
| Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze | ||
|
cs:spravce:pripojovani:souhrn [2018/09/07 09:04] jan.tomasek@cesnet.cz [Server organizace] |
cs:spravce:pripojovani:souhrn [2024/05/17 17:23] (aktuální) Jan Čáslavský |
||
|---|---|---|---|
| Řádek 1: | Řádek 1: | ||
| ====== Souhrn technických parametrů ====== | ====== Souhrn technických parametrů ====== | ||
| + | |||
| ===== Národní RADIUS server ===== | ===== Národní RADIUS server ===== | ||
| - | Jméno: radius1.eduroam.cz\\ | + | V aktuální situaci existují a souběžně běží dvě generace národního RADIUSu. Zjednodušeně ji budeme označovat jako **stará generace** (//radius1.eduroam.cz//) a **nová generace** (//flr[1-3].eduroam.cz//). |
| - | Použitá CA: [[http://pki.cesnet.cz/cs/ch-cca-crt-crl.html|CESNET CA3]]\\ | + | |
| - | Konfigurace: HA o dvou uzlech (aktivní + standby) | + | Obě generace národních RADIUSů jsou propojené a požadavky si mezi sebou předávají, např. pokud jeden realm je zapojený do staré a druhý realm do nové. Zároveň lze provozovat situaci pokud má realm více RADIUSů a každý z nich komunikuje s jinou generací národního RADIUSu. |
| + | |||
| + | ==== flr[1-3].eduroam.cz ==== | ||
| + | |||
| + | {{ :cs:spravce:pripojovani:flr123-struktura.png?nolink&600| }} | ||
| + | |||
| + | Toto je označení nástupní (nové) generace národního RADIUSu, která je složena ze tří RADIUS serverů, které jsou všechny tři na stejné úrovni. | ||
| + | Jsou dostupné na následujících anycastových adresách: | ||
| + | |||
| + | {{page>[:cs:spravce:pripojovani:souhrn:frag_flr]}} | ||
| + | |||
| + | Na všech třech je použitá CA [[https://www.edupki.org/edupki-ca|eduPKI CA]].\\ | ||
| + | |||
| + | Novou generaci monitoruje i nový monitoring, který je dostupný na těchto adresách: | ||
| + | |||
| + | {{page>[:cs:spravce:pripojovani:souhrn:frag_monitoring]}} | ||
| + | |||
| + | Dokumentace monitoringu je dostupná [[cs:spravce:monitoring|zde]]. | ||
| + | |||
| + | ==== radius1.eduroam.cz ==== | ||
| + | |||
| + | Jde o stávající, předchozí (starou) generaci národního RADIUSu, který se na venek prezentuje jako jedno jméno/adresa: | ||
| + | |||
| + | * **radius1.eduroam.cz** | ||
| + | * IPv4: 195.113.187.22 | ||
| + | |||
| + | Starou generaci má na starosti monitorovat ermon: | ||
| + | |||
| + | * **ermon.cesnet.cz** | ||
| + | * IPv4: 195.113.233.246 | ||
| + | * IPv6: 2001:718:1:e::233:246 | ||
| + | |||
| + | Dokumentace monitoringu je dostupná [[cs:spravce:monitoring:old|zde]]. | ||
| ===== WiFi infrastruktura organizace ===== | ===== WiFi infrastruktura organizace ===== | ||
| Řádek 17: | Řádek 51: | ||
| Je třeba aby: | Je třeba aby: | ||
| - | * odpovídal na ICMP echo request z ermon.cesnet.cz. ([[cs:spravce:monitoring:uvod|monitoring]]) | + | * odpovídal na ICMP echo request z ''monitoring.eduroam.cz''. ([[cs:spravce:monitoring|monitoring]]) |
| - | * měl otevřený port UDP/1812 z ermon.cesnet.cz. ([[cs:spravce:monitoring:uvod|monitoring]]) | + | * měl otevřený port UDP/1812 z ''monitoring.eduroam.cz''. ([[cs:spravce:monitoring|monitoring]]) |
| ==== používající RadSec ==== | ==== používající RadSec ==== | ||
| Řádek 25: | Řádek 59: | ||
| FW dále musí mít: | FW dále musí mít: | ||
| - | * otevřený port TCP/2083 z radius1.eduroam.cz. ([[cs:spravce:pripojovani:radsec:uvod|RadSec]])\\ | + | * otevřený port TCP/2083 z národních RADIUSů (''flr[1-3].eduroam.cz''). ([[cs:spravce:pripojovani:protokol_pripojeni|RadSec]])\\ |
| Sdílené tajemství RADIUS protokolu je ''radsec''. | Sdílené tajemství RADIUS protokolu je ''radsec''. | ||
| Řádek 31: | Řádek 65: | ||
| ==== používající IPsec ==== | ==== používající IPsec ==== | ||
| - | Nezbytností veřejná IPv4 adresa. | + | Lze provozovat na veřejných IPv4/IPv6 adresách nebo alternativně na privátních pomocí NAT Traversal. |
| FW dále musí mít: | FW dále musí mít: | ||
| - | * otevřenou komunikaci pro ICMP echo request z radius1.eduroam.cz. | + | * otevřenou komunikaci pro ICMP echo request z národních RADIUSů (''flr[1-3].eduroam.cz''). |
| - | * otevřený port UDP/500 z radius1.eduroam.cz. ([[cs:spravce:pripojovani:ipsec:uvod|IPsec]])\\ | + | * otevřený port UDP/500 z národních RADIUSů (''flr[1-3].eduroam.cz''). ([[cs:spravce:pripojovani:protokol_pripojeni|IPsec]])\\ |
| - | * otevřenou komunikaci pro ESP protokol. ([[cs:spravce:pripojovani:ipsec:uvod|IPsec]])\\ | + | * otevřenou komunikaci pro ESP protokol nebo otevřený port UDP/4500 při použití NAT Traversal. ([[cs:spravce:pripojovani:protokol_pripojeni|IPsec]]) |
| - | * doporučeno reject na portu UDP/4500 z radius1.eduroam.cz. ([[cs:spravce:pripojovani:ipsec:uvod|IPsec]])\\ | + | |
| - | Sdílené tajemství RADIUS protokolu je unikátní pro každý server a naleznete ho v [[cs:spravce:info#definice_radius_serveru|CESNET CAAS]]. | + | Sdílené tajemství RADIUS protokolu je ''ipsec''. |
| ==== Požadavky na RADIUS server ==== | ==== Požadavky na RADIUS server ==== | ||
CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
support@cesnet.cz