eduroam.cz

Postranní lišta

cs:spravce:pripojovani:radius:freeradius3:prechod

Obsah

FreeRADIUS 3 a přechod ze starého národního RADIUSu na nový

Nová generace národního RADIUSu uznává pro RadSec/IPsec spojení pouze certifikáty vydané autoritami eduroam CA 2 a eduPKI CA G 01!

Certifikáty od TCS a eduroam CA neobsahují požadované OID politiky, proto v nové generaci národního RADIUSu nejsou podporovány.

Servery nové generace národního RADIUSu používají certifikáty od eduPKI CA G 01, proto je třeba jí důvěřovat.

Přepnutí na novou generaci

Přepnutí se provádí v administrativní aplikaci, pro každý RADIUS server zvlášť, pomocí volby Používat nový národní RADIUS. Bez přepnutí není například k dispozici připojení pomocí protokolu IPv6.

Záloha konfigurace

Budeme dělat změny v těchto konfiguračních souborech:

  • /etc/freeradius/3.0/sites-available/tls
  • /etc/freeradius/3.0/sites-available/default
  • /etc/freeradius/3.0/proxy.conf
  • /etc/freeradius/3.0/clients.conf

Firewall - nové IP adresy

Nový národní RADIUS obsluhují servery na následujících anycastových adresách:

  • flr1.eduroam.cz
    • IPv4: 78.128.248.10
    • IPv6: 2001:718:ff05:aca::1:10
  • flr2.eduroam.cz
    • IPv4: 78.128.248.11
    • IPv6: 2001:718:ff05:aca::1:11
  • flr3.eduroam.cz
    • IPv4: 78.128.248.12
    • IPv6: 2001:718:ff05:aca::1:12

Z nich a na ně se bude komunikovat přes TCP port 2083. Samozřejmě pouze ve zvolené verzi IP protokolu.

Nový monitoring má následující adresy:

  • monitoring.eduroam.cz
    • IPv4: 78.128.248.234
    • IPv6: 2001:718:ff05:10b::234

Monitoring potřebuje mít na vaší straně povolený UDP port 1812 a musí mít možnost se dopingovat!

Změna uznávaných CA pro spojení s národním RADIUSem

Pro RadSec spojení budete nově potřebovat serverový certifikát buď od eduroam CA 2, nebo od eduPKI CA.

Změna CA certifikátů serverů národního RADIUSu

Certifikáty nového národního RADIUSu jsou nově podepsány autoritou eduPKI CA. Proto je potřeba do složky /etc/freeradius/3.0/certs nahrát soubor edupki-root-ca-cert.pem, který získáte na adrese https://www.edupki.org/.

Úprava nastavení pro RadSec

Následující změny se týkají souboru /etc/freeradius/3.0/sites-available/tls.

V sekci listen změníme limit max_connections na 48. Dále pak změnou clients = flr.eduroam.cz nastavíme, že klienty chceme brát nově z této sekce. A nakonec upravíme v podsekci tls cesty k certifikátům. 

listen {
        #pokud budete chtit pro komunikaci s narodnim RADIUSem pouzit IPv6, zmente ipaddr z "*" na "::"
        ipaddr = *
...
        clients = flr.eduroam.cz
...
        limit {
                max_connections = 48
                lifetime        = 0
                idle_timeout    = 600
        }
...
        tls {
                private_key_file = ${cadir}/radius.key
                certificate_file = ${cadir}/radius.crt
                ca_file          = ${cadir}/edupki-root-ca-cert.pem
                ...
                tls_min_version = "1.2"
                tls_max_version = "1.3"
        }
}

Nadefinujte klienty národních RADIUS serverů: 

...
clients flr.eduroam.cz {  
        client flr1.eduroam.cz {   
                ipaddr = 78.128.248.10
                #ipaddr = 2001:718:ff05:aca::1:10
                proto  = tls
                secret = radsec
 
                limit {
                        max_connections = 16
                        lifetime        = 0
                        idle_timeout    = 600
                }
        }
 
        client flr2.eduroam.cz {   
                ipaddr = 78.128.248.11
                #ipaddr = 2001:718:ff05:aca::1:11
                proto  = tls
                secret = radsec
 
                limit {
                        max_connections = 16
                        lifetime        = 0
                        idle_timeout    = 600
                }
        }
 
        client flr3.eduroam.cz {   
                ipaddr = 78.128.248.12
                #ipaddr = 2001:718:ff05:aca::1:12
                proto  = tls
                secret = radsec
 
                limit {
                        max_connections = 16
                        lifetime        = 0
                        idle_timeout    = 600
                }
        }
}
...

Na konci souboru nadefinujte servery národního RADIUSu, na které je možné posílat Access-Requesty návštěvníků. 

...
home_server flr1.eduroam.cz {
        ipaddr       = 78.128.248.10
        #ipaddr       = 2001:718:ff05:aca::1:10
        port         = 2083
        type         = auth
        secret       = radsec
        proto        = tcp
        status_check = none
        tls {
                private_key_file = ${cadir}/radius.key
                certificate_file = ${cadir}/radius.crt
                ca_file          = ${cadir}/edupki-root-ca-cert.pem
                tls_min_version  = "1.2"
                tls_max_version  = "1.3"
                fragment_size    = "8192"
        }
}
 
home_server flr2.eduroam.cz {
        ipaddr       = 78.128.248.11
        #ipaddr       = 2001:718:ff05:aca::1:11
        port         = 2083
        type         = auth
        secret       = radsec
        proto        = tcp
        status_check = none
        tls {
                private_key_file = ${cadir}/radius.key
                certificate_file = ${cadir}/radius.crt
                ca_file          = ${cadir}/edupki-root-ca-cert.pem
                tls_min_version  = "1.2"
                tls_max_version  = "1.3"
                fragment_size    = "8192"
        }
}
 
home_server flr3.eduroam.cz {
        ipaddr       = 78.128.248.12
        #ipaddr       = 2001:718:ff05:aca::1:12
        port         = 2083
        type         = auth
        secret       = radsec
        proto        = tcp
        status_check = none
        tls {
                private_key_file = ${cadir}/radius.key
                certificate_file = ${cadir}/radius.crt
                ca_file          = ${cadir}/edupki-root-ca-cert.pem
                tls_min_version  = "1.2"
                tls_max_version  = "1.3"
                fragment_size    = "8192"
        }
}
 
home_server_pool flr.eduroam.cz {
        type        = "keyed-balance"
        home_server = "flr1.eduroam.cz"
        home_server = "flr2.eduroam.cz"
        home_server = "flr3.eduroam.cz"
}

Nastavení Load-Balance-Key

Možná jste si všimli, že v sekci „home_server_pool flr.eduroam.cz“ v konfiguraci radsecu je definovaná volba „type“ s hodnotou „keyed-balance“. Ta zajistí, že budou požadavky na národní RADIUSy rozkládány mezi všechny jednotlivé servery. K tomu aby tato funkcionalita pracovala správně, je třeba ještě tato úprava v souboru /etc/freeradius/3.0/sites-available/default: 

authorize {
..
        update {
                control:Load-Balance-Key := &Calling-Station-ID
        }
..
}

Změna předávání požadavků

V souboru /etc/freeradius/3.0/proxy.conf upravíme v sekci realmu pro předávání (v našem návodu je to realm „~.+$“) auth_pool z tls na flr.eduroam.cz. Tím zajistíme, že se budeme dotazovat nových serveů. 

...
realm "~.+$" {
        status_check = status-server
        auth_pool    = "flr.eduroam.cz"
        nostrip
}

Lokální testovací klient pro monitorování eduroamu

Přidejte klienta, ze kterého probíhá testování. Do souboru /etc/freeradius/3.0/clients.conf přidejte sekci: 

client monitoring.eduroam.cz {
        ipaddr        = 78.128.248.234
        #ipaddr        = 2001:718:ff05:10b::234
        secret        = <sdilene_heslo>
        shortname     = monitoring
        add_cui       = no
        Operator-Name = 1<realm.cz>
}
Poslední úprava:: 2024/07/04 14:16

Rychlé odkazy

Kontakt

CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
info@cesnet.cz

Service desk

Tel: +420 234 680 222
GSM: +420 602 252 531
support@cesnet.cz

© 1996–2024 CESNET, z. s. p. o.