Protokolem připojení je myšlen protokol pro spojení RADIUSu instituce s národním RADIUSem.
RADIUS k přenosu paketů používá UDP protokol, kde šifruje pouze atributy User-Password a Message-Authenticator, přičemž zbylé atributy nechává čitelné. Proto je třeba celý provoz zabezpečit ještě pomocí RadSec, nebo IPsec.
Používáte-li Linux, BSD doporučujeme použít RadSec protokol, který je součástí Radiatoru i FreeRADIUSu v3. Pokud chcete použít implementaci RADIUSu, který nepodporuje RadSec protokol, tak lze použít radsecproxy, která bude vaši komunikaci RADIUSu zabezpečovat pomocí RadSec protokolu.
Pro správné nastavení komunikace pomocí protokolu RadSec je nutné minimálně následující spojení:
Pokud budete provozovat RADIUS server na operačním systému Microsoft Windows Server, je nutné komunikaci za účelem ochrany uživatelských údajů chránit pomocí IPsec. K dispozici je detailní návod pro MS Windows Server 2019 (odpovídá i verzím 2012 a 2016).
Připojení pomocí IPsec je možné i pro ty instituce, které provozují RADIUS server na jiném operačním systému. Pro konfiguraci IPsec mohou využít například strongSwan - návrh konfigurace. V tomto scénáři ale doporučujeme použití RadSec, který je podstatně snazší na implementaci.
Pro správné nastavení komunikace pomocí protokolu IPsec je nutné mít navázané spojení se všemi národními RADIUSy.
IPsec je používán v transportním režimu za použití ESP, nebo UDP/4500 v případě použití NAT-T, AH se nepoužívá.
Od obou dob platnosti náš strongSwan odečte náhodně maximálně 10% hodnoty a po této době vynutí patřičné kroky.
Pro komunikaci národního RADIUSu s RADIUSem instituce je zapotřebí certifikát od uznávané CA (certifikační autority).
RADIUS organizace může používat certifikát od certifikačních autorit uvedených v návodu.
CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
support@cesnet.cz
