Toto je starší verze dokumentu!
Jméno: radius1.eduroam.cz
Použitá CA: CESNET CA3
Konfigurace: HA o dvou uzlech (aktivní + standby)
Je třeba aby:
Lze použít NAT, pokud je zajištěn překlad potřebných portů.
FW dále musí mít:
Sdílené tajemství RADIUS protokolu je radsec
.
Nezbytností veřejná IPv4 adresa.
FW dále musí mít:
Sdílené tajemství RADIUS protokolu je unikátní pro každý server a naleznete ho v CESNET CAAS.
Radiator | FreeRADIUS | Microsoft NPS | Cisco | |||
---|---|---|---|---|---|---|
4.17 | v2 | v3 | 2012 R2 | ACS v4.2 | ISE 2.1 | |
RFC 2865; RADIUS | ANO | ANO | ANO | ANO | ANO | ANO |
RFC 3580; EAP | ANO | ANO | ANO | ANO | ANO | ANO |
proxy podle realmu v User-Name | ANO | ANO | ANO | ANO | ANO | ANO |
RFC 6614; RadSec | ANO | NE | ANO | NE | NE | NE |
RFC 5997; Server-Status | ANO | ??? | ANO | NE | NE | NE |
Operator-Name | ANO | ANO | ANO | NE | NE | ANO |
Chargeable-User-Identity | ANO | ANO | ANO | NE | NE | ANO1 |
Zakázáno tunelování vnitřní identity | ANO | ANO | ANO | ANO | ANO | ANO |
Vynucení shody vnitřní & vnější identity | ANO | ANO | ANO | ANO | ANO | ANO |
eduroam.cz kompatibilita | plná | EoL | plná | částečná | EoL | plná |
RFC 2865 - podpora základního RADIUS protokolu
RFC 3580 - podpora protokolu EAP, ověřování uživatelů pomocí IEEE 802.1X. Bez této podpory není RADIUS použitelný k ověřování uživatelů.
proxy podle realmu v User-Name - uživatelé v eduroamu používají uživatelská jména ve tvaru uid@realm.cz. RADIUS server musí být schopen předávat (proxy(ovat)) požadavky které obsahují jiný realm než jeho vlastní na nadřazený server.
RFC 6614; RadSec - transport RADIUS protokolu přes TLS spojení
RFC 5997; Server-Status - Schopnost RADIUS serveru hlasit svuj stav a testovat stav partneru pomoci kodu 12 RADIUS protokolu. eduroamu se vyuziva pro lepsi detekci nefunkcnich serveru.
Operator-Name - V Access-Request je v tomto atributu přenášena identifikace navštíveného SP, pokud to RADIUS server neumí, tak tuto informaci doplňuje národní RADIUS. Servery které Operator-Name nepodporují, nesmí být použity pro obsluhu více organizací.
Chargeable-User-Identity - Identifikátr uživatele unikátní pro každé SP. Identifikátor který uživatel nedovede ovlivnit, narozdíl od MAC adresy anebo použitím vnější anonymní identity.
1 Neumí generovat dynamicky na základě Operator-Name, viz detaily.
CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
support@cesnet.cz