Obsah

Protokol připojení

Protokolem připojení je myšlen protokol pro spojení RADIUSu instituce s národním RADIUSem.

RADIUS

RADIUS k přenosu paketů používá UDP protokol, kde šifruje pouze atributy User-Password a Message-Authenticator, přičemž zbylé atributy nechává čitelné. Proto je třeba celý provoz zabezpečit ještě pomocí RadSec, nebo IPsec.

RadSec

Používáte-li Linux, BSD doporučujeme použít RadSec protokol, který je součástí Radiatoru i FreeRADIUSu v3. Pokud chcete použít implementaci RADIUSu, který nepodporuje RadSec protokol, tak lze použít radsecproxy, která bude vaši komunikaci RADIUSu zabezpečovat pomocí RadSec protokolu.

Spojení s národními RADIUSy

Pro správné nastavení komunikace pomocí protokolu RadSec je nutné minimálně následující spojení:


IPsec

Pokud budete provozovat RADIUS server na operačním systému Microsoft Windows Server, je nutné komunikaci za účelem ochrany uživatelských údajů chránit pomocí IPsec. K dispozici je detailní návod pro MS Windows Server 2019 (odpovídá i verzím 2012 a 2016).

Připojení pomocí IPsec je možné i pro ty instituce, které provozují RADIUS server na jiném operačním systému. Pro konfiguraci IPsec mohou využít například strongSwan - návrh konfigurace. V tomto scénáři ale doporučujeme použití RadSec, který je podstatně snazší na implementaci.

Spojení s národními RADIUSy

Pro správné nastavení komunikace pomocí protokolu IPsec je nutné mít navázané spojení se všemi národními RADIUSy.

Nastavení FW

Parametry IPsec

IPsec je používán v transportním režimu za použití ESP, nebo UDP/4500 v případě použití NAT-T, AH se nepoužívá.

Od obou dob platnosti náš strongSwan odečte náhodně maximálně 10% hodnoty a po této době vynutí patřičné kroky.


Certifikáty

Pro komunikaci národního RADIUSu s RADIUSem instituce je zapotřebí certifikát od uznávané CA (certifikační autority).

RADIUS organizace může používat certifikát od certifikačních autorit uvedených v návodu.