====== Souhrn technických parametrů ======


===== Národní RADIUS server =====

V aktuální situaci existují a souběžně běží dvě generace národního RADIUSu. Zjednodušeně ji budeme označovat jako **stará generace** (//radius1.eduroam.cz//) a **nová generace** (//flr[1-3].eduroam.cz//).

Obě generace národních RADIUSů jsou propojené a požadavky si mezi sebou předávají, např. pokud jeden realm je zapojený do staré a druhý realm do nové. Zároveň lze provozovat situaci pokud má realm více RADIUSů a každý z nich komunikuje s jinou generací národního RADIUSu. 

==== flr[1-3].eduroam.cz ====

{{ :cs:spravce:pripojovani:flr123-struktura.png?nolink&600| }}

Toto je označení nástupní (nové) generace národního RADIUSu, která je složena ze tří RADIUS serverů, které jsou všechny tři na stejné úrovni. 
Jsou dostupné na následujících anycastových adresách:

{{page>[:cs:spravce:pripojovani:souhrn:frag_flr]}}

Na všech třech je použitá CA [[https://www.edupki.org/edupki-ca|eduPKI CA]].\\

Novou generaci monitoruje i nový monitoring, který je dostupný na těchto adresách:

{{page>[:cs:spravce:pripojovani:souhrn:frag_monitoring]}}

Dokumentace monitoringu je dostupná [[cs:spravce:monitoring|zde]].

==== radius1.eduroam.cz ====

Jde o stávající, předchozí (starou) generaci národního RADIUSu, který se na venek prezentuje jako jedno jméno/adresa:

  * **radius1.eduroam.cz**
    * IPv4: 195.113.187.22

Starou generaci má na starosti monitorovat ermon:

  * **ermon.cesnet.cz**
    * IPv4: 195.113.233.246
    * IPv6: 2001:718:1:e::233:246

Dokumentace monitoringu je dostupná [[cs:spravce:monitoring:old|zde]].


===== WiFi infrastruktura organizace =====

Je třeba aby:
  * vysílala essid "eduroam" - vše malými písmeny
  * ověřovala uživatele protokolem IEEE 802.1X
  * používala šifrování WPA2+AES a případně lepší

===== Server organizace =====

Je třeba aby:
  * odpovídal na ICMP echo request z ''monitoring.eduroam.cz''. ([[cs:spravce:monitoring|monitoring]])
  * měl otevřený port UDP/1812 z ''monitoring.eduroam.cz''. ([[cs:spravce:monitoring|monitoring]])

==== používající RadSec ====

Lze použít NAT, pokud je zajištěn překlad potřebných portů.

FW dále musí mít:
  * otevřený port TCP/2083 z národních RADIUSů (''flr[1-3].eduroam.cz''). ([[cs:spravce:pripojovani:protokol_pripojeni|RadSec]])\\

Sdílené tajemství RADIUS protokolu je ''radsec''. 

<WRAP center round info 60%>
Pro ověření funkčnosti spojení RadSec se používá test v monitoringu, který před ověřením spojení odesílá požadavek pod uživatelem **status@flr.eduroam.cz**, který je záměrně zakončen na národních RADIUSech odpovědí **Access-Reject**. Používá se jako impulz pro navázání spojení pro případ, kdy není aktivita na RADIUSu organizace.
</WRAP>

==== používající IPsec ====

Lze provozovat na veřejných IPv4/IPv6 adresách nebo alternativně na privátních pomocí NAT Traversal.

FW dále musí mít:
  * otevřenou komunikaci pro ICMP echo request z národních RADIUSů (''flr[1-3].eduroam.cz'').
  * otevřený port UDP/500 z národních RADIUSů (''flr[1-3].eduroam.cz''). ([[cs:spravce:pripojovani:protokol_pripojeni|IPsec]])\\
  * otevřenou komunikaci pro ESP protokol nebo otevřený port UDP/4500 při použití NAT Traversal. ([[cs:spravce:pripojovani:protokol_pripojeni|IPsec]])

Sdílené tajemství RADIUS protokolu je ''ipsec''.

==== Požadavky na RADIUS server ====

|                                ^  Radiator            ^  FreeRADIUS                      ^^ Microsoft NPS ^  Cisco                 ||
|:::                             ^  4.17                ^  v2                    ^  v3      ^   2012 R2     ^  ACS v4.2  ^  [[cisco_ise_2|ISE 2.1]]   |
^ RFC 2865; RADIUS               |  **ANO**            |  **ANO**               |  **ANO**  |  **ANO**     |  **ANO**   |  **ANO**   |
^ RFC 3580; EAP                  |  **ANO**            |  **ANO**               |  **ANO**  |  **ANO**     |  **ANO**   |  **ANO**   |
^ proxy podle realmu v User-Name |  **ANO**            |  **ANO**               |  **ANO**  |  **ANO**     |  **ANO**   |  **ANO**   |
^ filtrování atributů            |  **ANO**            |  **ANO**               |  **ANO**  |  **ANO**     |  **ANO**   |  **ANO**   |
^ RFC 6614; RadSec               |  **ANO**            |  **NE**                |  **ANO**  |  **NE**      |  **NE**    |  **NE**    |
^ RFC 5997; Server-Status        |  **ANO**            |  ???                   |  **ANO**  |  **NE**      |  **NE**    |  **NE**    |
^ Operator-Name                  |  **ANO**            |  **ANO**               |  **ANO**  |  **NE**      |  **NE**    |  **ANO**   |
^ Chargeable-User-Identity       |  **ANO**            |  **ANO**               |  **ANO**  |  **NE**      |  **NE**    |  **ANO**<sup>1</sup>    |
^ Zakázáno tunelování vnitřní identity |  **ANO**      |  **ANO**               |  **ANO**  |  **ANO**     |  **ANO**   |  **ANO**   |
^ Vynucení shody vnitřní & vnější identity |  **ANO**  |  **ANO**               |  **ANO**  |  **ANO**     |  **ANO**   |  **ANO**   |
| | | |      |
| eduroam.cz kompatibilita       |  plná               |  EoL                   |  plná     |  částečná    |  [[https://web.archive.org/web/20151029050557/http://www.cisco.com/c/en/us/products/collateral/security/secure-access-control-server-windows/end_of_life_notice_c51-664639.html|EoL]]       |  plná  |


== Vysvětlivky == 

**[[https://tools.ietf.org/html/rfc2865|RFC 2865]]** - podpora základního RADIUS protokolu

**[[https://tools.ietf.org/html/rfc3580|RFC 3580]]** - podpora protokolu EAP, ověřování uživatelů pomocí IEEE 802.1X. Bez této podpory není RADIUS použitelný k ověřování uživatelů.

**proxy podle realmu v User-Name** - uživatelé v eduroamu používají uživatelská jména ve tvaru uid@realm.cz. RADIUS server musí být schopen předávat (proxy(ovat)) požadavky které obsahují jiný realm než jeho vlastní na nadřazený server.

**filtrování atributů** - některé připojené organizace posílají s odpovědí AV páry určující, do jaké VLAN má být uživatel umístěn. Musíte zajistit odstranění těchto AV párů, aby nedošlo k průnikům hostů do těch oblastí Vaší sítě, kam je nechcete pustit. Jedná se především o: ''Tunnel-Private-Group-ID'', ''Tunnel-Type'' a ''Tunnel-Medium-Type''. Odpověď obsahující AV pár ''Tunnel-Private-Group-ID = 1:666'' identifkuje testovací účet. Měli byste zajistit, aby takto označené účty nemohly ve Vaší síti získat přístup ke konektivitě. U eduroam je jedna z možností tuto VLAN definovat jako "slepou".

**[[https://tools.ietf.org/html/rfc6614|RFC 6614; RadSec]]** - transport RADIUS protokolu přes TLS spojení

**[[https://tools.ietf.org/html/rfc5997|RFC 5997; Server-Status]] ** - Schopnost RADIUS serveru hlasit svuj stav a testovat stav partneru pomoci kodu 12 RADIUS protokolu. eduroamu se vyuziva pro lepsi detekci nefunkcnich serveru.

**Operator-Name** - V Access-Request je v tomto atributu přenášena identifikace navštíveného SP, pokud to RADIUS server neumí, tak tuto informaci doplňuje národní RADIUS. **Servery které Operator-Name nepodporují, nesmí být použity pro obsluhu více organizací.**

**Chargeable-User-Identity** - Identifikátr uživatele unikátní pro každé SP. Identifikátor který uživatel nedovede ovlivnit, narozdíl od MAC adresy anebo použitím vnější anonymní identity.

<sup>1</sup> Neumí generovat dynamicky na základě Operator-Name, viz [[cisco_ise_2|detaily]].