Referenční nápověda k aplikaci eduroam-admin

Realm

Obvykle internetová doména registrované instituce. Musí být ve veřejném internetu. Domény pod .local jsou nepřijatelné. Více informací...

Jméno RADIUS serveru

Bez vlastního RADIUS serveru se instituce k eduroamu nepřipojí. Při registraci instituce do eduroamu, musí být jméno serveru registrováno ve veřejném DNS.

Dále si prostudujte technické požadavky na RADIUS server. Máte také k dispozici na konfiguraci serveru.

Protokol propojení

Drtivá většina institucí používá RadSec, což je v podstatě běžné TLS spojení. Protokol je implementován v FreeRADIUSu a nebo v radsecproxy, to druhé je použitelné i jako proxy před MS NPS.

Pokud instituce používá Microsoft NPS může protokol připojení zvolit IPsec. Podrobnosti k nastavení jsou popsány v návodu.

Typ připojení

SP - Poskytovatel Služeb - tj. ten kdo vysílá eduroam

IdP - Poskytovatel Identit - tj. ten kdo poskytuje přihlašující údaje do eduroamu

Typicky se instituce zapojují jako IdP+SP. V IROPu je použit režim aktivní (IdP+SP) či pasivní zapojení (SP). Režim pasivního zapojeni (pouze SP) nedoporučujeme.

Správci

Technický personál připojované instituce odpovědný za provoz RADIUSu a jeho připojení k eduroamu. Mohou to být i technici firmy která má s připojovanou institucí smlouvu. Kontakty lze v budoucnu libovolně upravovat. Je vhodné jmenovat dvě osoby aby byla zajištěna zástupnost.

Další informace: správci eduroamu

Testovací účet a heslo

Každá zapojená instituce poskytuje testovací účet pro účely monitoringu.

Infrastrukturní vs Monitorované RADIUSy

Na drtivé většině institucí se jedná o ten a samý RADIUS server, tj. obě položky jsou stené.

Jak ukazuje obrázek je možné použít dva různé servery. Fialový server (označený jako radsecproxy) představuje infrastrukturní RADIUS - jím je instituce připojena k národnímu RADIUSu. Šedý server (označený RADIUS) představuje např. MS NPS o vůči kterému jsou autentizováni klienti AP a tamtéž se také dotazuje monitorovací server provozovaný CESNETem.

Sdílené tajemství pro národní RADIUS server

Pro servery připojené protokolem RadSec se používá: radsec.

Pro servery připojené protokolem IPsec se používá: ipsec.

Sdílené tajemství pro monitoring

Sdílené tajemství které používá monitoring.eduroam.cz při komunikaci s RADIUS servery. Typicky se jedná o 15 náhodných znaků.

Preference serveru

Po restartu národního RADIUSu je přednostně pro ověřování realmu používán server s nižším číslem. Pokud dojde k výpadkům ověřování na serveru, začne národní RADIUS posílat požadavky na případný druhý server v pořadí. K prvnímu serveru se pak vrátí buď po restartu a nebo po výpadcích druhého serveru. Pokud budou mít všechny servery nastavenou stejnou preferenci, bude národní RADIUS posílat požadavky více méně rovnoměrně mezi všechny.

IP adresa

V poli je na výběr z dostupných IP adres, které odpovídají podle DNS vašemu RADIUS jménu. Podle výběru IP adresy bude národní RADIUS server komunikovat s vaším RADIUS serverem podle zvoleného protokolu IPv4 nebo IPv6. Totéž platí i pro komunikaci s monitoringem.