====== Protokol připojení ====== Protokolem připojení je myšlen protokol pro spojení RADIUSu instituce s národním RADIUSem. ===== RADIUS ===== RADIUS k přenosu paketů používá UDP protokol, kde šifruje pouze atributy User-Password a Message-Authenticator, přičemž zbylé atributy nechává čitelné. Proto je třeba celý provoz zabezpečit ještě pomocí [[#radsec|RadSec]], nebo [[#ipsec|IPsec]]. ===== RadSec ===== Používáte-li Linux, BSD doporučujeme použít RadSec protokol, který je součástí [[cs:spravce:pripojovani:radius:radiator|Radiatoru]] i [[:cs:spravce:pripojovani:radius:freeradius3|FreeRADIUSu v3]]. Pokud chcete použít implementaci RADIUSu, který nepodporuje RadSec protokol, tak lze použít [[:cs:spravce:pripojovani:radius:radsecproxy|radsecproxy]], která bude vaši komunikaci RADIUSu zabezpečovat pomocí RadSec protokolu. ==== Spojení s národními RADIUSy ==== Pro správné nastavení komunikace pomocí protokolu RadSec je nutné minimálně následující spojení: * **IdP+SP**: Váš RADIUS musí mít navázané spojení směrem ze všech tří národních RADIUSů a z vašeho RADIUSu musí být navázáno minimálně jedno spojení. * **SP**: Váš RADIUS musí mít navázané alespoň jedno spojení směrem k národnímu RADIUSu. (ale nakonfigurované na všechny národní RADIUSy) * **IdP**: Váš RADIUS musí mít navázané spojení směrem ze všech tří národních RADIUSů. {{ :cs:spravce:pripojovani:flr123-radsec-IdP.png?400|}} {{:cs:spravce:pripojovani:flr123-radsec.png?400 |}} {{ :cs:spravce:pripojovani:flr123-radsec-SP.png?400 |}} ---- ===== IPsec ===== Pokud budete provozovat RADIUS server na operačním systému //Microsoft Windows Server//, je nutné komunikaci za účelem ochrany uživatelských údajů chránit pomocí IPsec. K dispozici je detailní návod pro [[:cs:spravce:pripojovani:radius:nps:firewall_ipsec|MS Windows Server 2019]] (odpovídá i verzím 2012 a 2016). Připojení pomocí IPsec je možné i pro ty instituce, které provozují RADIUS server na jiném operačním systému. Pro konfiguraci IPsec mohou využít například [[https://www.strongswan.org/|strongSwan]] - [[https://gitlab.cesnet.cz/708/public/eduroam/-/blob/main/strongswan/eduroam_cz_flr.conf.example|návrh konfigurace]]. V tomto scénáři ale doporučujeme použití [[#radsec|RadSec]], který je podstatně snazší na implementaci. ==== Spojení s národními RADIUSy ==== Pro správné nastavení komunikace pomocí protokolu IPsec je nutné mít navázané spojení se všemi národními RADIUSy. {{:cs:spravce:pripojovani:flr123-ipsec.png?600|}} ==== Nastavení FW ==== * povolit **UDP/500** * povolit protokol **ESP** (pro RADIUS server na veřejné adrese) nebo **UDP/4500** (pro RADIUS server za NATem) * povolit **ICMP echo request** ==== Parametry IPsec ==== IPsec je používán v transportním režimu za použití **ESP**, nebo **UDP/4500** v případě použití NAT-T, **AH** se nepoužívá. * Fáze 1 * Šifrovací algoritmus: **AES256** * Hash algoritmus: **SHA256** * Diffie-Hellman group: **20** (ecp384) * Doba platnosti: **24 hodin** * Fáze 2 * Šifrovací algoritmus: **AES256** * Autentikační algoritmus: **SHA256** * Doba platnosti: **4 hodiny** Od obou dob platnosti náš strongSwan odečte náhodně maximálně 10% hodnoty a po této době vynutí patřičné kroky. ---- ===== Certifikáty ===== Pro komunikaci národního RADIUSu s RADIUSem instituce je zapotřebí certifikát od uznávané CA (certifikační autority). RADIUS organizace může používat certifikát od [[:cs:spravce:pripojovani:serverove_certifikaty|certifikačních autorit uvedených v návodu]].