Kompatibilita Cisco ISE 2.x s eduroam.cz

  1. Podpora RFC 2865 – RADIUS – ANO
  2. Podpora RFC 3580 – EAP – ANO (podporované metody PEAP, EAP-TLS, EAP-TTLS, EAP-FAST)
  3. Podporované uživatelské backendy – interní databáze, Active Directory, LDAP, SAML, ODBC – MS SQL Server, Oracle, PostgreSQL, Sybase, od verze ISE 2.2 též MySQL)
  4. Podpora RFC 6614 – RADSec – NE (lze řešit použitím RADSecProxy anebo IPsec)
  5. Podpora RFC 5997 – Server-Status – NE
  6. Podpora atributů Operator-Name a CUI – ANO (nejprve nutno zadefinovat oba atributy a jejich typy (string) v RADIUS dictionary, což bez problémů lze)
  7. Podpora RFC 5580 – odesílání atributu Operator-Name v Access-Request – ANO (pokud ermon testuje RADSecProxy a nikoli přímo ISE, nutno vkládat atribut též v RADSecProxy)
  8. Podpora RFC 4372 – CUI – SP: podpora odesílání atributu CUI=NULL v Access Request - NE (atribut lze odesílat, ale jako hodnotu nelze vložit znak „NULL“ – lze vyřešit vkládání atributu s NULL hodnotou na RADSecProxy)
  9. Podpora RFC 4372 – CUI – SP: podpora logování atributu CUI v přijatém Access-Accept - ČÁSTEČNÁ (hodnota atributu se loguje v rámci autentizačních požadavků, ale nepropisuje se do Accountingových paketů z NAD)
  10. Podpora RFC 4372 – CUI – SP: blokování uživatele dle hodnoty CUI - ANO
  11. Podpora RFC 4372 – CUI – IdP: podpora generování atributu CUI v odeslaných Access-Accept dle eduroam policy – ČÁSTEČNÁ (do odeslané Access-Accept zprávy lze vložit atribut CUI, ale pouze s fixní hodnotou resp. s fixní hodnotou atributu uživatele vyčteného z uživatelského backendu - v případě Active Directory lze použít například atribu objectGUID, který se nikdy nemění narozdíl od SID. V autorizačních pravidlech nefunguje regexp match na hodnotu NULL, lze použít například .*)
  12. Podpora RFC 7585 – RADIUS dynamic peer discovery – NE
  13. Vynucení shody vnější a vnitřní identity + anonymous – ANO * (Nelze vynutit shodu vnější a vnitřní identity napřímo, ale lze vynutit, že vnější identita se musí shodovat s hodnotou určitého atributu uživatele vyčteného z uživatelského backendu, kde je tedy nutné mít vnější identitu uloženou)
  14. Zakázáno tunelování vnitřní identity – VCELKA-MAJA – ANO (nelze ovlivnit, dělá nativně z principu)
  15. Podpora RFC 7360 – RADIUS DTLS – ČÁSTEČNÁ (pouze pro komunikaci s NAD, nikoli pro proxy požadavku na externí RADIUS server – jenom pro informaci, možná budoucí náhrada TLS?)
  16. RADIUS dead timer pro konfigurovaný externí RADIUS server (národní RADIUS server přes radsecproxy) je nastaven natvrdo na 5 minut a nejde konfiguračně změnit, bohužel tedy při provozu dochází k označování národního RADIUS server za „dead“ - https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise.html#anc10

U výrobce byl založen bug na doplnění podpory těchto funkcionalit (vyjma bodu 16): https://quickview.cloudapps.cisco.com/quickview/bug/CSCve00069

Přehled zpracoval Ing. Jiří Beneš z Networksys a.s.