====== FreeRADIUS 3 a přechod ze starého národního RADIUSu na nový ======
{{page>[:cs:spravce: pripojovani: frag_certifikat]}}
==== Přepnutí na novou generaci ====
Přepnutí se provádí v [[https://admin.eduroam.cz|administrativní aplikaci]], pro každý RADIUS server zvlášť, pomocí volby **Používat nový národní RADIUS**. Bez přepnutí není například k dispozici připojení pomocí protokolu IPv6.
==== Záloha konfigurace ====
Budeme dělat změny v těchto konfiguračních souborech:
* /etc/freeradius/3.0/sites-available/tls
* /etc/freeradius/3.0/sites-available/default
* /etc/freeradius/3.0/proxy.conf
* /etc/freeradius/3.0/clients.conf
==== Firewall - nové IP adresy ====
Nový národní RADIUS obsluhují servery na následujících anycastových adresách:
{{page>[:cs:spravce:pripojovani:souhrn:frag_flr]}}
Z nich a na ně se bude komunikovat přes **TCP** port **2083**. Samozřejmě pouze ve zvolené verzi IP protokolu.
Nový monitoring má následující adresy:
{{page>[:cs:spravce:pripojovani:souhrn:frag_monitoring]}}
Monitoring potřebuje mít na vaší straně povolený **UDP** port **1812** a musí mít možnost se **dopingovat**!
==== Změna uznávaných CA pro spojení s národním RADIUSem ====
Pro RadSec spojení budete nově potřebovat serverový certifikát buď od [[https://certifikat.eduroam.cz/|eduroam CA 2]], nebo od [[https://www.edupki.org|eduPKI CA]].
==== Změna CA certifikátů serverů národního RADIUSu ====
Certifikáty nového národního RADIUSu jsou nově podepsány autoritou [[https://www.edupki.org|eduPKI CA]]. Proto je potřeba do složky ''/etc/freeradius/3.0/certs'' nahrát soubor [[https://www.edupki.org/fileadmin/Documents/edupki-root-ca-cert.pem|edupki-root-ca-cert.pem]], který získáte na adrese [[https://www.edupki.org/edupki-ca/policies-root-certificate-crl-ocsp|https://www.edupki.org/]].
==== Úprava nastavení pro RadSec ====
Následující změny se týkají souboru ''/etc/freeradius/3.0/sites-available/tls''.
V sekci listen změníme limit ''max_connections'' na 48. Dále pak změnou ''clients = flr.eduroam.cz'' nastavíme, že klienty chceme brát nově z této sekce. A nakonec upravíme v podsekci ''tls'' cesty k certifikátům.
listen {
#pokud budete chtit pro komunikaci s narodnim RADIUSem pouzit IPv6, zmente ipaddr z "*" na "::"
ipaddr = *
...
clients = flr.eduroam.cz
...
limit {
max_connections = 48
lifetime = 0
idle_timeout = 600
}
...
tls {
private_key_file = ${cadir}/radius.key
certificate_file = ${cadir}/radius.crt
ca_file = ${cadir}/edupki-root-ca-cert.pem
...
tls_min_version = "1.2"
tls_max_version = "1.3"
}
}
Nadefinujte klienty národních RADIUS serverů:
...
clients flr.eduroam.cz {
client flr1.eduroam.cz {
ipaddr = 78.128.248.10
#ipaddr = 2001:718:ff05:aca::1:10
proto = tls
secret = radsec
limit {
max_connections = 16
lifetime = 0
idle_timeout = 600
}
}
client flr2.eduroam.cz {
ipaddr = 78.128.248.11
#ipaddr = 2001:718:ff05:aca::1:11
proto = tls
secret = radsec
limit {
max_connections = 16
lifetime = 0
idle_timeout = 600
}
}
client flr3.eduroam.cz {
ipaddr = 78.128.248.12
#ipaddr = 2001:718:ff05:aca::1:12
proto = tls
secret = radsec
limit {
max_connections = 16
lifetime = 0
idle_timeout = 600
}
}
}
...
Na konci souboru nadefinujte servery národního RADIUSu, na které je možné posílat Access-Requesty návštěvníků.
...
home_server flr1.eduroam.cz {
ipaddr = 78.128.248.10
#ipaddr = 2001:718:ff05:aca::1:10
port = 2083
type = auth
secret = radsec
proto = tcp
status_check = none
tls {
private_key_file = ${cadir}/radius.key
certificate_file = ${cadir}/radius.crt
ca_file = ${cadir}/edupki-root-ca-cert.pem
tls_min_version = "1.2"
tls_max_version = "1.3"
fragment_size = "8192"
}
}
home_server flr2.eduroam.cz {
ipaddr = 78.128.248.11
#ipaddr = 2001:718:ff05:aca::1:11
port = 2083
type = auth
secret = radsec
proto = tcp
status_check = none
tls {
private_key_file = ${cadir}/radius.key
certificate_file = ${cadir}/radius.crt
ca_file = ${cadir}/edupki-root-ca-cert.pem
tls_min_version = "1.2"
tls_max_version = "1.3"
fragment_size = "8192"
}
}
home_server flr3.eduroam.cz {
ipaddr = 78.128.248.12
#ipaddr = 2001:718:ff05:aca::1:12
port = 2083
type = auth
secret = radsec
proto = tcp
status_check = none
tls {
private_key_file = ${cadir}/radius.key
certificate_file = ${cadir}/radius.crt
ca_file = ${cadir}/edupki-root-ca-cert.pem
tls_min_version = "1.2"
tls_max_version = "1.3"
fragment_size = "8192"
}
}
home_server_pool flr.eduroam.cz {
type = "keyed-balance"
home_server = "flr1.eduroam.cz"
home_server = "flr2.eduroam.cz"
home_server = "flr3.eduroam.cz"
}
==== Nastavení Load-Balance-Key ====
Možná jste si všimli, že v sekci "home_server_pool flr.eduroam.cz" v konfiguraci radsecu je definovaná volba "type" s hodnotou "keyed-balance". Ta zajistí, že budou požadavky na národní RADIUSy rozkládány mezi všechny jednotlivé servery. K tomu aby tato funkcionalita pracovala správně, je třeba ještě tato úprava v souboru ''/etc/freeradius/3.0/sites-available/default'':
authorize {
..
update {
control:Load-Balance-Key := &Calling-Station-ID
}
..
}
==== Změna předávání požadavků ====
V souboru ''/etc/freeradius/3.0/proxy.conf'' upravíme v sekci realmu pro předávání (v našem návodu je to ''realm "~.+$"'') ''auth_pool'' z ''tls'' na ''flr.eduroam.cz''. Tím zajistíme, že se budeme dotazovat nových serveů.
...
realm "~.+$" {
status_check = status-server
auth_pool = "flr.eduroam.cz"
nostrip
}
==== Lokální testovací klient pro monitorování eduroamu ====
Přidejte klienta, ze kterého probíhá testování. Do souboru ''/etc/freeradius/3.0/clients.conf'' přidejte sekci:
client monitoring.eduroam.cz {
ipaddr = 78.128.248.234
#ipaddr = 2001:718:ff05:10b::234
secret =
shortname = monitoring
add_cui = no
Operator-Name = 1
}