Obsah
Souhrn technických parametrů
Národní RADIUS server
V aktuální situaci existují a souběžně běží dvě generace národního RADIUSu. Zjednodušeně ji budeme označovat jako stará generace (radius1.eduroam.cz) a nová generace (flr[1-3].eduroam.cz).
Obě generace národních RADIUSů jsou propojené a požadavky si mezi sebou předávají, např. pokud jeden realm je zapojený do staré a druhý realm do nové. Zároveň lze provozovat situaci pokud má realm více RADIUSů a každý z nich komunikuje s jinou generací národního RADIUSu.
flr[1-3].eduroam.cz
Toto je označení nástupní (nové) generace národního RADIUSu, která je složena ze tří RADIUS serverů, které jsou všechny tři na stejné úrovni. Jsou dostupné na následujících anycastových adresách:
- flr1.eduroam.cz
- IPv4: 78.128.248.10
- IPv6: 2001:718:ff05:aca::1:10
- flr2.eduroam.cz
- IPv4: 78.128.248.11
- IPv6: 2001:718:ff05:aca::1:11
- flr3.eduroam.cz
- IPv4: 78.128.248.12
- IPv6: 2001:718:ff05:aca::1:12
Na všech třech je použitá CA eduPKI CA.
Novou generaci monitoruje i nový monitoring, který je dostupný na těchto adresách:
- monitoring.eduroam.cz
- IPv4: 78.128.248.234
- IPv6: 2001:718:ff05:10b::234
Dokumentace monitoringu je dostupná zde.
radius1.eduroam.cz
Jde o stávající, předchozí (starou) generaci národního RADIUSu, který se na venek prezentuje jako jedno jméno/adresa:
- radius1.eduroam.cz
- IPv4: 195.113.187.22
Starou generaci má na starosti monitorovat ermon:
- ermon.cesnet.cz
- IPv4: 195.113.233.246
- IPv6: 2001:718:1:e::233:246
Dokumentace monitoringu je dostupná zde.
WiFi infrastruktura organizace
Je třeba aby:
- vysílala essid „eduroam“ - vše malými písmeny
- ověřovala uživatele protokolem IEEE 802.1X
- používala šifrování WPA2+AES a případně lepší
Server organizace
Je třeba aby:
- odpovídal na ICMP echo request z
monitoring.eduroam.cz. (monitoring) - měl otevřený port UDP/1812 z
monitoring.eduroam.cz. (monitoring)
používající RadSec
Lze použít NAT, pokud je zajištěn překlad potřebných portů.
FW dále musí mít:
Sdílené tajemství RADIUS protokolu je radsec.
Pro ověření funkčnosti spojení RadSec se používá test v monitoringu, který před ověřením spojení odesílá požadavek pod uživatelem status@flr.eduroam.cz, který je záměrně zakončen na národních RADIUSech odpovědí Access-Reject. Používá se jako impulz pro navázání spojení pro případ, kdy není aktivita na RADIUSu organizace.
používající IPsec
Lze provozovat na veřejných IPv4/IPv6 adresách nebo alternativně na privátních pomocí NAT Traversal.
FW dále musí mít:
- otevřenou komunikaci pro ICMP echo request z národních RADIUSů (
flr[1-3].eduroam.cz). - otevřenou komunikaci pro ESP protokol nebo otevřený port UDP/4500 při použití NAT Traversal. (IPsec)
Sdílené tajemství RADIUS protokolu je ipsec.
Požadavky na RADIUS server
| Radiator | FreeRADIUS | Microsoft NPS | Cisco | |||
|---|---|---|---|---|---|---|
| 4.17 | v2 | v3 | 2012 R2 | ACS v4.2 | ISE 2.1 | |
| RFC 2865; RADIUS | ANO | ANO | ANO | ANO | ANO | ANO |
| RFC 3580; EAP | ANO | ANO | ANO | ANO | ANO | ANO |
| proxy podle realmu v User-Name | ANO | ANO | ANO | ANO | ANO | ANO |
| filtrování atributů | ANO | ANO | ANO | ANO | ANO | ANO |
| RFC 6614; RadSec | ANO | NE | ANO | NE | NE | NE |
| RFC 5997; Server-Status | ANO | ??? | ANO | NE | NE | NE |
| Operator-Name | ANO | ANO | ANO | NE | NE | ANO |
| Chargeable-User-Identity | ANO | ANO | ANO | NE | NE | ANO1 |
| Zakázáno tunelování vnitřní identity | ANO | ANO | ANO | ANO | ANO | ANO |
| Vynucení shody vnitřní & vnější identity | ANO | ANO | ANO | ANO | ANO | ANO |
| eduroam.cz kompatibilita | plná | EoL | plná | částečná | EoL | plná |
Vysvětlivky
RFC 2865 - podpora základního RADIUS protokolu
RFC 3580 - podpora protokolu EAP, ověřování uživatelů pomocí IEEE 802.1X. Bez této podpory není RADIUS použitelný k ověřování uživatelů.
proxy podle realmu v User-Name - uživatelé v eduroamu používají uživatelská jména ve tvaru uid@realm.cz. RADIUS server musí být schopen předávat (proxy(ovat)) požadavky které obsahují jiný realm než jeho vlastní na nadřazený server.
filtrování atributů - některé připojené organizace posílají s odpovědí AV páry určující, do jaké VLAN má být uživatel umístěn. Musíte zajistit odstranění těchto AV párů, aby nedošlo k průnikům hostů do těch oblastí Vaší sítě, kam je nechcete pustit. Jedná se především o: Tunnel-Private-Group-ID, Tunnel-Type a Tunnel-Medium-Type. Odpověď obsahující AV pár Tunnel-Private-Group-ID = 1:666 identifkuje testovací účet. Měli byste zajistit, aby takto označené účty nemohly ve Vaší síti získat přístup ke konektivitě. U eduroam je jedna z možností tuto VLAN definovat jako „slepou“.
RFC 6614; RadSec - transport RADIUS protokolu přes TLS spojení
RFC 5997; Server-Status - Schopnost RADIUS serveru hlasit svuj stav a testovat stav partneru pomoci kodu 12 RADIUS protokolu. eduroamu se vyuziva pro lepsi detekci nefunkcnich serveru.
Operator-Name - V Access-Request je v tomto atributu přenášena identifikace navštíveného SP, pokud to RADIUS server neumí, tak tuto informaci doplňuje národní RADIUS. Servery které Operator-Name nepodporují, nesmí být použity pro obsluhu více organizací.
Chargeable-User-Identity - Identifikátr uživatele unikátní pro každé SP. Identifikátor který uživatel nedovede ovlivnit, narozdíl od MAC adresy anebo použitím vnější anonymní identity.
1 Neumí generovat dynamicky na základě Operator-Name, viz detaily.