Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende ÜberarbeitungLetzte ÜberarbeitungBeide Seiten der Revision | ||
de:eduroam:anleitungen:radsecproxy [2023/01/04 10:46] – Hinweis auf Reihenfolge der Realm-Blöcke Jan-Frederik Rieckers | de:eduroam:anleitungen:radsecproxy [2023/06/02 14:08] – Update zur Umstellung TCS Jan-Frederik Rieckers | ||
---|---|---|---|
Zeile 53: | Zeile 53: | ||
==== TCS (Sectigo) ==== | ==== TCS (Sectigo) ==== | ||
- | < | + | < |
- | + | ||
- | Zertifikate von Sectigo können aktuell auch für die Föderationsverbindung genutzt werden. Auch hier müssen Sie über den TCS-Zugang Ihrer Einrichtung ein Zertifkat erstellen. | + | |
Wird TCS genutzt, senden auch die Föderationsserver ein TCS-Zertifikat, | Wird TCS genutzt, senden auch die Föderationsserver ein TCS-Zertifikat, | ||
Zeile 108: | Zeile 106: | ||
< | < | ||
client tld1.eduroam.de { | client tld1.eduroam.de { | ||
- | host 193.174.75.134 # alternativ bei IPv6 host 2001: | + | host 193.174.75.134 |
+ | | ||
+ | #host 2001: | ||
type tls | type tls | ||
CertificateNameCheck Off | CertificateNameCheck Off | ||
Zeile 114: | Zeile 114: | ||
} | } | ||
client tld2.eduroam.de { | client tld2.eduroam.de { | ||
- | host 193.174.75.138 # alternativ bei IPv6 host 2001: | + | host 193.174.75.138 |
+ | | ||
+ | #host 2001: | ||
type tls | type tls | ||
CertificateNameCheck Off | CertificateNameCheck Off | ||
Zeile 120: | Zeile 122: | ||
} | } | ||
client tld3.eduroam.de { | client tld3.eduroam.de { | ||
- | host 194.95.245.98 # alternativ bei IPv6 host 2001: | + | host 194.95.245.98 |
+ | | ||
+ | #host 2001: | ||
type tls | type tls | ||
CertificateNameCheck Off | CertificateNameCheck Off | ||
Zeile 126: | Zeile 130: | ||
} | } | ||
server tld1.eduroam.de { | server tld1.eduroam.de { | ||
- | host 193.174.75.134 # alternativ bei IPv6 host 2001: | + | host 193.174.75.134 |
+ | | ||
+ | #host 2001: | ||
type tls | type tls | ||
StatusServer on | StatusServer on | ||
Zeile 133: | Zeile 139: | ||
} | } | ||
server tld2.eduroam.de { | server tld2.eduroam.de { | ||
- | host 193.174.75.138 # alternativ bei IPv6 host 2001: | + | host 193.174.75.138 |
+ | | ||
+ | #host 2001: | ||
type tls | type tls | ||
StatusServer on | StatusServer on | ||
Zeile 139: | Zeile 147: | ||
MatchCertificateAttribute SubjectAltName: | MatchCertificateAttribute SubjectAltName: | ||
} | } | ||
- | server tld3.eduroam.de { | + | server tld3.eduroam.de |
- | host 194.95.245.98 # alternativ bei IPv6 host 2001: | + | host 194.95.245.98 |
+ | | ||
+ | #host 2001: | ||
type tls | type tls | ||
StatusServer on | StatusServer on | ||
Zeile 194: | Zeile 204: | ||
===== Realm-Konfiguration ===== | ===== Realm-Konfiguration ===== | ||
- | Das Routing der verschiedenen Realms geschieht über '' | + | Das Routing der verschiedenen Realms geschieht über '' |
+ | |||
+ | Um die Last auf den Föderationsserver des DFN zu verringern, sollten verbreitete Fehler in der Realm-Konfiguration bereits auf dem lokalen Radsecproxy abgefangen werden. | ||
+ | Dazu gehören z.B. Leerzeichen im Realm (z.B. am Ende, wenn Autocomplete genutzt wurde) oder 3GPP-Realms, | ||
+ | Da Radsecproxy die Realms sequenziell nach der Reihenfolge in der Konfiguration durchgeht, muss dieser Block entsprechend vor der Default-Regel stehen. | ||
< | < | ||
Zeile 202: | Zeile 216: | ||
} | } | ||
- | # Default-Regel: Alles unbekannte zu den DFN-Servern weiterleiten | + | # Abfangen von typischen Fehlkonfigurationen in Clients |
- | # Dieser | + | # (Vor dem Default-Block, |
- | realm * { | + | |
- | server tld1.eduroam.de | + | |
- | server tld2.eduroam.de | + | |
- | server tld3.eduroam.de | + | |
- | } | + | |
- | </ | + | |
- | + | ||
- | Um die Last auf den Föderationsserver des DFN zu verringern, können Sie verbreitete Fehler in der Realm-Konfiguration bereits auf Ihrem Radsecproxy abfangen. | + | |
- | + | ||
- | Da Radsecproxy | + | |
- | + | ||
- | < | + | |
realm /\.$/ { | realm /\.$/ { | ||
replymessage " | replymessage " | ||
Zeile 224: | Zeile 226: | ||
realm /\s/ { | realm /\s/ { | ||
replymessage " | replymessage " | ||
+ | } | ||
+ | |||
+ | # Default-Regel: | ||
+ | # Dieser Block sollte ganz am Ende der Konfiguration stehen | ||
+ | realm * { | ||
+ | server tld1.eduroam.de | ||
+ | server tld2.eduroam.de | ||
+ | server tld3.eduroam.de | ||
} | } | ||
</ | </ |