Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
de:eduroam:anleitungen:radsecproxy [2024/11/14 08:49] – [Konfiguration der Föderationsserver] Ralf Paffrathde:eduroam:anleitungen:radsecproxy [2026/03/24 12:04] (aktuell) Jan-Frederik Rieckers
Zeile 13: Zeile 13:
 Die Verbindung zum Föderationsproxy wird über TLS abgesichert. Hierfür benötigt Radsecproxy ein Zertifikat, ebenso müssen die Zertifikate der Gegenstelle überprüft werden. Da radsecproxy in der Regel unter dem User-Account ''%%radsecproxy%%'' läuft, empfiehlt es sich, einen neuen Ordner ''%%/etc/radsecproxy%%'' anzulegen, auf dem der ''%%radsecproxy%%''-User entsprechende Leserechte besitzt. Die Verbindung zum Föderationsproxy wird über TLS abgesichert. Hierfür benötigt Radsecproxy ein Zertifikat, ebenso müssen die Zertifikate der Gegenstelle überprüft werden. Da radsecproxy in der Regel unter dem User-Account ''%%radsecproxy%%'' läuft, empfiehlt es sich, einen neuen Ordner ''%%/etc/radsecproxy%%'' anzulegen, auf dem der ''%%radsecproxy%%''-User entsprechende Leserechte besitzt.
  
-<alert>Die CA wird vom DFN fest gesetztSoll die CA also gewechselt werden, muss das in Koordination mit dem DFN erfolgen.</alert>+<alert>Es muss zwingend ein Zertifikat aus der eduroam-CA verwendet werdenZertifikate aus TCS (Harica) oder anderen Quellen akzeptieren wir nicht.</alert>
  
 ==== eduroam-CA ==== ==== eduroam-CA ====
Zeile 36: Zeile 36:
 <alert>Die CA unterscheidet zwischen eduroam IdP und eduroam SP. Achten Sie hierbei also darauf, dass Sie bei der Beantragung das korrekte Zertifikatsprofil auswählen.</alert> <alert>Die CA unterscheidet zwischen eduroam IdP und eduroam SP. Achten Sie hierbei also darauf, dass Sie bei der Beantragung das korrekte Zertifikatsprofil auswählen.</alert>
  
-==== DFN-PKI ==== 
  
-<alert>Mit der Abkündigung der DFN-PKI zu Ende 2022 muss auf die eduroam-CA umgestellt werden.</alert> 
- 
-Zertifikate der DFN-PKI müssen mit dem Profil “RADIUS-Server” erstellt werden, Nur dann haben sie die benötigten Zertifikatsattribute. Die Zertifikate müssen über den PKI-Zugang Ihrer Einrichtung beantragt und genehmigt werden. 
- 
-Wird ein DFN-PKI-Zertifikat für die Authentifizierung genutzt, muss auch das Server-Zertifikat von den Föderationsservern gegen die DFN-PKI (bzw. gegen das Root-Zertifikat von TeleSec) geprüft werden. Dazu kann der TLS-Block in der ''%%radsecproxy.conf%%'' so aussehen: 
- 
-<code> 
-tls default { 
-    CACertificateFile   /etc/ssl/certs/T-TeleSec_GlobalRoot_Class_2.pem 
-    CertificateFile     /etc/radsecproxy/ihr-dfn-pki-zertifikat.pem 
-    CertificateKeyFile  /etc/radsecproxy/ihr-dfn-pki-private-key.pem 
-} 
-</code> 
  
 ===== Konfiguration der Föderationsserver ===== ===== Konfiguration der Föderationsserver =====
Zeile 56: Zeile 42:
 Der DFN-Verein betreibt 3 Föderationsserver mit folgenden Details: Der DFN-Verein betreibt 3 Föderationsserver mit folgenden Details:
  
-^Name           +FQDN ^ IPv4 ^ IPv6 ^  
-|tld1.eduroam.de| +|tld1.eduroam.de |193.174.75.134 | 2001:638:d:c105::134 
-|tld2.eduroam.de| +|tld2.eduroam.de |193.174.75.138 | 2001:638:d:c106::138 
-|tld3.eduroam.de| +|tld3.eduroam.de |193.174.75.142 | 2001:638:d:c108:26::
 +==== Clients ====
 <code> <code>
 client tld1.eduroam.de { client tld1.eduroam.de {
     type tls     type tls
-    CertificateNameCheck Off 
-    MatchCertificateAttribute SubjectAltName:DNS:/^tld1\.eduroam\.de$/ 
 } }
 client tld2.eduroam.de { client tld2.eduroam.de {
     type tls     type tls
-    CertificateNameCheck Off 
-    MatchCertificateAttribute SubjectAltName:DNS:/^tld2\.eduroam\.de$/ 
 } }
 client tld3.eduroam.de { client tld3.eduroam.de {
     type tls     type tls
-    CertificateNameCheck Off +}</code> 
-    MatchCertificateAttribute SubjectAltName:DNS:/^tld3\.eduroam\.de$+==== Server ==== 
-}+<code>
 server tld1.eduroam.de { server tld1.eduroam.de {
     type tls     type tls
     StatusServer on     StatusServer on
-    CertificateNameCheck Off 
-    MatchCertificateAttribute SubjectAltName:DNS:/^tld1\.eduroam\.de$/ 
 } }
 server tld2.eduroam.de { server tld2.eduroam.de {
     type tls     type tls
     StatusServer on     StatusServer on
-    CertificateNameCheck Off 
-    MatchCertificateAttribute SubjectAltName:DNS:/^tld2\.eduroam\.de$/ 
 } }
 server tld3.eduroam.de  { server tld3.eduroam.de  {
     type tls     type tls
     StatusServer on     StatusServer on
-    CertificateNameCheck Off 
-    MatchCertificateAttribute SubjectAltName:DNS:/^tld3\.eduroam\.de$/ 
 } }
 </code> </code>
  
-<alert>Beim Start von Radsecproxy wird ein DNS-Lookup durchgeführt. Schlägt das DNS-Lookup fehl, startet Radsecproxy nicht.</alert> +<alert>Beim Start von Radsecproxy wird ein DNS-Lookup durchgeführt. Schlägt das DNS-Lookup fehl, startet Radsecproxy nicht. 
 + 
 +Um unabhängig von DNS zu sein, kann die IP-Adresse statisch eingetragen werden, allerdings muss dann auch der Zertifikats-Namens-Check angepasst werden. 
 +</alert
 + 
 +Der folgende Code-Schnipsel ist ein Beispiel für die Konfiguration mit IP-Adresse. (Erfordert radsecproxy Version 1.10 oder höher) 
 + 
 +<code> 
 +server tld1.eduroam.de { 
 +    host 193.174.75.134 
 +    type tls 
 +    ServerName tld1.eduroam.de 
 +    StatusServer On 
 +
 +client tld1.eduroam.de { 
 +    host 193.174.75.134 
 +    type tls 
 +    ServerName tld1.eduroam.de 
 +
 +</code>
 ===== Konfiguration der Anbindung von lokalem RADIUS-Server und Access Points ===== ===== Konfiguration der Anbindung von lokalem RADIUS-Server und Access Points =====
  
Zeile 167: Zeile 162:
 realm /\s/ { realm /\s/ {
     replymessage "Misconfigured client: Realm must not contain spaces"     replymessage "Misconfigured client: Realm must not contain spaces"
 +}
 +realm /^[^@]+$ {
 +    replymessage "Misconfigured client: Empty realm makes no sense."
 } }
  
  • Zuletzt geändert: vor 17 Monaten