Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze Následující verze Obě strany příští revize | ||
cs:spravce:monitoring:end2end_monitoring_new [2018/08/03 12:34] machv@cesnet.cz [BIG-PACKET] |
cs:spravce:monitoring:end2end_monitoring_new [2018/08/15 20:49] jan.tomasek@cesnet.cz [FAKE-UID] |
||
---|---|---|---|
Řádek 162: | Řádek 162: | ||
* test přenosu fragmentovaných UDP paketů | * test přenosu fragmentovaných UDP paketů | ||
- | * závisí na **domácím realmu** | + | * závisí na navázaném spojení na národní RADIUS server (**IPSEC** nebo **RADSEC**) |
+ | * závisí na **HOME-REALM-ALIVE** na radius1.cesnet.cz | ||
* test se provádí s účtem big-packet@cesnet.cz což je specielní účet s velkým Access-Acceptem. Pokud testovaný server zvládne tento paket doručit na ermon, tak to znamená že je schopen přijmnout (z národního RADIUSu) ale i odeslat (na ermon) fragmentový UDP paket. | * test se provádí s účtem big-packet@cesnet.cz což je specielní účet s velkým Access-Acceptem. Pokud testovaný server zvládne tento paket doručit na ermon, tak to znamená že je schopen přijmnout (z národního RADIUSu) ale i odeslat (na ermon) fragmentový UDP paket. | ||
* CRITICAL/WARNING-HARD nastává po **3** neúspěných pokusech | * CRITICAL/WARNING-HARD nastává po **3** neúspěných pokusech | ||
Řádek 207: | Řádek 208: | ||
* služba má dynamické jméno ve tvaru @realm | * služba má dynamické jméno ve tvaru @realm | ||
* závisí na: | * závisí na: | ||
- | * **domácí realm**, tj. jestli na serveru funguje RADIUS TODO | + | * **domácí realm**, tj. jestli na serveru funguje RADIUS (pokud je na serveru více domácích realmů, závisí na všech zároveň) |
* **domácí server testovaného realmu/testovaný realm**, tj. jestli domácímu serveru příslušnému k tomuto realmu funguje RADIUS | * **domácí server testovaného realmu/testovaný realm**, tj. jestli domácímu serveru příslušnému k tomuto realmu funguje RADIUS | ||
* CRITICAL-HARD stav nastává po **3** pokusech, tj. max po 180+120*(3-1)=**420 minutách = 7 hodinách ** od výpadku | * CRITICAL-HARD stav nastává po **3** pokusech, tj. max po 180+120*(3-1)=**420 minutách = 7 hodinách ** od výpadku | ||
Řádek 235: | Řádek 236: | ||
* test že SP posílá vyplněný RADIUS atribut Chargeable-User-Idenity | * test že SP posílá vyplněný RADIUS atribut Chargeable-User-Idenity | ||
- | * test probíhá z CESNETích RADIUS serverů pomocí testovacího účtu organizace TODO | ||
* CRITICAL/WARNING-HARD nastává po **3** neúspěných pokusech | * CRITICAL/WARNING-HARD nastává po **3** neúspěných pokusech | ||
* normální perioda testování je **24 hodin** | * normální perioda testování je **24 hodin** | ||
Řádek 243: | Řádek 243: | ||
==== FAKE-UID ==== | ==== FAKE-UID ==== | ||
- | * test že IdP vynucuje shodu vnější a vnitřní identity (Jako vnější identita se použije anonXXX@realm.cz a jako vnitřní pak testovací účet organizace. IdP takový požadavek na ověření nesmí vyhodnotit pozitivně) | + | * Test že IdP vynucuje shodu vnější a vnitřní identity. Jako vnější (anonymní) identita se použije anonXXX@realm.cz a jako vnitřní pak testovací účet organizace. IdP takový požadavek na ověření nesmí vyhodnotit pozitivně. IdP které nepodporuje Chargeable-User-Identity nesmí povolit žádnou anonymní identitu (tj. ani anonymous@realm.cz), viz [[https://www.eduroam.cz/cs/roamingova_politika|Technické požadavky a doporučení pro členy federace eduroam.cz]]. |
* [[https://random.cesnet.cz/pipermail/eduroam-admin/2016-November/001141.html|více informací]] | * [[https://random.cesnet.cz/pipermail/eduroam-admin/2016-November/001141.html|více informací]] | ||
* řešení: [[https://www.eduroam.cz/cs/spravce/pripojovani/radius/freeradius2#kontrola_shody_vnejsi_a_vnitrni_eap_identity|FreeRADIUS v2]], [[https://www.eduroam.cz/cs/spravce/pripojovani/radius/freeradius3#kontrola_shody_vnejsi_a_vnitrni_eap_identity|FreeRADIUS v3]] | * řešení: [[https://www.eduroam.cz/cs/spravce/pripojovani/radius/freeradius2#kontrola_shody_vnejsi_a_vnitrni_eap_identity|FreeRADIUS v2]], [[https://www.eduroam.cz/cs/spravce/pripojovani/radius/freeradius3#kontrola_shody_vnejsi_a_vnitrni_eap_identity|FreeRADIUS v3]] | ||
Řádek 259: | Řádek 259: | ||
==== CVE-2017-9148 ==== | ==== CVE-2017-9148 ==== | ||
- | TODO | + | * test že RADIUS server správně pracuje s obnovením sezení v PEAP a TTLS |
+ | * CRITICAL/WARNING-HARD nastává po **3** neúspěných pokusech | ||
+ | * normální perioda testování je **48 hodin** | ||
+ | * v případě výpadku se testuje každé **3 hodiny** | ||
+ | * notifikace se posílají | ||
==== HOME-REALM-ALIVE ==== | ==== HOME-REALM-ALIVE ==== | ||
Řádek 294: | Řádek 299: | ||
===== Matice dostupnosti ===== | ===== Matice dostupnosti ===== | ||
- | {{ :spravce:monitoring:end2end_monitoring:matice_dostupnosti.png?250|Matice dostupnosti}} | + | {{:cs:spravce:monitoring:matrix.png?400|Matice dostupnosti}} |
Skupiny služeb a serverů sice trochu usnadňují orientaci v množství | Skupiny služeb a serverů sice trochu usnadňují orientaci v množství | ||
Řádek 301: | Řádek 306: | ||
jednotlivé realmy. Díky tomu lze na téměř první pohled okamžitě zjistit, kde co nefunguje. | jednotlivé realmy. Díky tomu lze na téměř první pohled okamžitě zjistit, kde co nefunguje. | ||
- | K matici je volný přístup, adresa je [[https://ermon.cesnet.cz/matrix/]]. | + | K matici je volný přístup, adresa je [[https://monitor.eduroam.cz/matrix/]]. |