Přepnutí se provádí v administrativní aplikaci, pro každý RADIUS server zvlášť, pomocí volby Používat nový národní RADIUS. Bez přepnutí není například k dispozici připojení pomocí protokolu IPv6.
Budeme dělat změny v těchto konfiguračních souborech:
Nový národní RADIUS obsluhují servery na následujících anycastových adresách:
Z nich a na ně se bude komunikovat přes TCP port 2083. Samozřejmě pouze ve zvolené verzi IP protokolu.
Nový monitoring má následující adresy:
Monitoring potřebuje mít na vaší straně povolený UDP port 1812 a musí mít možnost se dopingovat!
Pro RadSec spojení budete nově potřebovat serverový certifikát buď od eduroam CA 2, nebo od eduPKI CA.
Certifikáty nového národního RADIUSu jsou nově podepsány autoritou eduPKI CA. Proto je potřeba do složky /etc/freeradius/3.0/certs nahrát soubor edupki-root-ca-cert.pem, který získáte na adrese https://www.edupki.org/.
Následující změny se týkají souboru /etc/freeradius/3.0/sites-available/tls.
V sekci listen změníme limit max_connections na 48. Dále pak změnou clients = flr.eduroam.cz nastavíme, že klienty chceme brát nově z této sekce. A nakonec upravíme v podsekci tls cesty k certifikátům.
listen { #pokud budete chtit pro komunikaci s narodnim RADIUSem pouzit IPv6, zmente ipaddr z "*" na "::" ipaddr = * ... clients = flr.eduroam.cz ... limit { max_connections = 48 lifetime = 0 idle_timeout = 600 } ... tls { private_key_file = ${cadir}/radius.key certificate_file = ${cadir}/radius.crt ca_file = ${cadir}/edupki-root-ca-cert.pem ... tls_min_version = "1.2" tls_max_version = "1.3" } }
Nadefinujte klienty národních RADIUS serverů:
... clients flr.eduroam.cz { client flr1.eduroam.cz { ipaddr = 78.128.248.10 #ipaddr = 2001:718:ff05:aca::1:10 proto = tls secret = radsec limit { max_connections = 16 lifetime = 0 idle_timeout = 600 } } client flr2.eduroam.cz { ipaddr = 78.128.248.11 #ipaddr = 2001:718:ff05:aca::1:11 proto = tls secret = radsec limit { max_connections = 16 lifetime = 0 idle_timeout = 600 } } client flr3.eduroam.cz { ipaddr = 78.128.248.12 #ipaddr = 2001:718:ff05:aca::1:12 proto = tls secret = radsec limit { max_connections = 16 lifetime = 0 idle_timeout = 600 } } } ...
Na konci souboru nadefinujte servery národního RADIUSu, na které je možné posílat Access-Requesty návštěvníků.
... home_server flr1.eduroam.cz { ipaddr = 78.128.248.10 #ipaddr = 2001:718:ff05:aca::1:10 port = 2083 type = auth secret = radsec proto = tcp status_check = none tls { private_key_file = ${cadir}/radius.key certificate_file = ${cadir}/radius.crt ca_file = ${cadir}/edupki-root-ca-cert.pem tls_min_version = "1.2" tls_max_version = "1.3" fragment_size = "8192" } } home_server flr2.eduroam.cz { ipaddr = 78.128.248.11 #ipaddr = 2001:718:ff05:aca::1:11 port = 2083 type = auth secret = radsec proto = tcp status_check = none tls { private_key_file = ${cadir}/radius.key certificate_file = ${cadir}/radius.crt ca_file = ${cadir}/edupki-root-ca-cert.pem tls_min_version = "1.2" tls_max_version = "1.3" fragment_size = "8192" } } home_server flr3.eduroam.cz { ipaddr = 78.128.248.12 #ipaddr = 2001:718:ff05:aca::1:12 port = 2083 type = auth secret = radsec proto = tcp status_check = none tls { private_key_file = ${cadir}/radius.key certificate_file = ${cadir}/radius.crt ca_file = ${cadir}/edupki-root-ca-cert.pem tls_min_version = "1.2" tls_max_version = "1.3" fragment_size = "8192" } } home_server_pool flr.eduroam.cz { type = "keyed-balance" home_server = "flr1.eduroam.cz" home_server = "flr2.eduroam.cz" home_server = "flr3.eduroam.cz" }
Možná jste si všimli, že v sekci „home_server_pool flr.eduroam.cz“ v konfiguraci radsecu je definovaná volba „type“ s hodnotou „keyed-balance“. Ta zajistí, že budou požadavky na národní RADIUSy rozkládány mezi všechny jednotlivé servery. K tomu aby tato funkcionalita pracovala správně, je třeba ještě tato úprava v souboru /etc/freeradius/3.0/sites-available/default:
authorize { .. update { control:Load-Balance-Key := &Calling-Station-ID } .. }
V souboru /etc/freeradius/3.0/proxy.conf upravíme v sekci realmu pro předávání (v našem návodu je to realm „~.+$“) auth_pool z tls na flr.eduroam.cz. Tím zajistíme, že se budeme dotazovat nových serveů.
... realm "~.+$" { status_check = status-server auth_pool = "flr.eduroam.cz" nostrip }
Přidejte klienta, ze kterého probíhá testování. Do souboru /etc/freeradius/3.0/clients.conf přidejte sekci:
client monitoring.eduroam.cz { ipaddr = 78.128.248.234 #ipaddr = 2001:718:ff05:10b::234 secret = <sdilene_heslo> shortname = monitoring add_cui = no Operator-Name = 1<realm.cz> }