Toto je starší verze dokumentu!
Jméno: radius1.eduroam.cz
Použitá CA: CESNET CA3
Konfigurace: HA o dvou uzlech (aktivní + standby)
Je třeba aby:
Lze použít NAT, pokud je zajištěn překlad potřebných portů.
FW dále musí mít:
Sdílené tajemství RADIUS protokolu je radsec
.
Nezbytností veřejná IPv4 adresa.
FW dále musí mít:
Sdílené tajemství RADIUS protokolu je unikátní pro každý server a naleznete ho v CESNET CAAS.
Radiator | FreeRADIUS | Microsoft NPS | Cisco | |||
---|---|---|---|---|---|---|
4.17 | v2 | v3 | 2012 R2 | ACS v4.2 | ISE 2.1 | |
RFC 2865; RADIUS | ANO | ANO | ANO | ANO | ANO | ANO |
RFC 3580; EAP | ANO | ANO | ANO | ANO | ANO | ANO |
proxy podle realmu v User-Name | ANO | ANO | ANO | ANO | ANO | ANO |
filtrování atributů | ANO | ANO | ANO | ANO | ANO | ANO |
RFC 6614; RadSec | ANO | NE | ANO | NE | NE | NE |
RFC 5997; Server-Status | ANO | ??? | ANO | NE | NE | NE |
Operator-Name | ANO | ANO | ANO | NE | NE | ANO |
Chargeable-User-Identity | ANO | ANO | ANO | NE | NE | ANO1 |
Zakázáno tunelování vnitřní identity | ANO | ANO | ANO | ANO | ANO | ANO |
Vynucení shody vnitřní & vnější identity | ANO | ANO | ANO | ANO | ANO | ANO |
eduroam.cz kompatibilita | plná | EoL | plná | částečná | EoL | plná |
RFC 2865 - podpora základního RADIUS protokolu
RFC 3580 - podpora protokolu EAP, ověřování uživatelů pomocí IEEE 802.1X. Bez této podpory není RADIUS použitelný k ověřování uživatelů.
proxy podle realmu v User-Name - uživatelé v eduroamu používají uživatelská jména ve tvaru uid@realm.cz. RADIUS server musí být schopen předávat (proxy(ovat)) požadavky které obsahují jiný realm než jeho vlastní na nadřazený server.
filtrování atributů - některé připojené organizace posílají s odpovědí AV páry určující, do jaké VLAN má být uživatel umístěn. Musíte zajistit odstranění těchto AV párů, aby nedošlo k průnikům hostů do těch oblastí Vaší sítě, kam je nechcete pustit. Jedná se především o: Tunnel-Private-Group-ID
, Tunnel-Type
a Tunnel-Medium-Type
. Odpověď obsahující AV pár Tunnel-Private-Group-ID = 1:666
identifkuje testovací účet. Měli byste zajistit, aby takto označené účty nemohly ve Vaší síti získat přístup ke konektivitě. U eduroam je jedna z možností tuto VLAN definovat jako „slepou“.
RFC 6614; RadSec - transport RADIUS protokolu přes TLS spojení
RFC 5997; Server-Status - Schopnost RADIUS serveru hlasit svuj stav a testovat stav partneru pomoci kodu 12 RADIUS protokolu. eduroamu se vyuziva pro lepsi detekci nefunkcnich serveru.
Operator-Name - V Access-Request je v tomto atributu přenášena identifikace navštíveného SP, pokud to RADIUS server neumí, tak tuto informaci doplňuje národní RADIUS. Servery které Operator-Name nepodporují, nesmí být použity pro obsluhu více organizací.
Chargeable-User-Identity - Identifikátr uživatele unikátní pro každé SP. Identifikátor který uživatel nedovede ovlivnit, narozdíl od MAC adresy anebo použitím vnější anonymní identity.
1 Neumí generovat dynamicky na základě Operator-Name, viz detaily.
CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
support@cesnet.cz