Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- de:eduroam:anleitungen:radsecproxy [2025/02/07 12:42] – [DFN-PKI] Ralf Paffrath
+++ de:eduroam:anleitungen:radsecproxy [2026/04/28 16:26] (aktuell) – Hinweis alte IP-Adresse von tld3 Jan-Frederik Rieckers
@@ Zeile 13: / Zeile 13: @@
 Die Verbindung zum Föderationsproxy wird über TLS abgesichert. Hierfür benötigt Radsecproxy ein Zertifikat, ebenso müssen die Zertifikate der Gegenstelle überprüft werden. Da radsecproxy in der Regel unter dem User-Account ''%%radsecproxy%%'' läuft, empfiehlt es sich, einen neuen Ordner ''%%/etc/radsecproxy%%'' anzulegen, auf dem der ''%%radsecproxy%%''-User entsprechende Leserechte besitzt.
-<alert>Die CA wird vom DFN fest gesetzt. Soll die CA also gewechselt werden, muss das in Koordination mit dem DFN erfolgen.</alert>
+<alert>Es muss zwingend ein Zertifikat aus der eduroam-CA verwendet werden. Zertifikate aus TCS (Harica) oder anderen Quellen akzeptieren wir nicht.</alert>
 ==== eduroam-CA ====
@@ Zeile 42: / Zeile 42: @@
 Der DFN-Verein betreibt 3 Föderationsserver mit folgenden Details:
-^Name           ^
+^ FQDN ^ IPv4-Adresse ^ IPv6-Adresse ^
-|tld1.eduroam.de|
+|tld1.eduroam.de |193.174.75.134 | 2001:638:d:c105::134 |
-|tld2.eduroam.de|
+|tld2.eduroam.de |193.174.75.138 | 2001:638:d:c106::138 |
-|tld3.eduroam.de|
+|tld3.eduroam.de |193.174.75.142 | 2001:638:d:c108:26::1 |
+<alert>Die IP-Adresse 194.95.245.98 ist die alte IP-Adresse von tld3. Wenn diese IP-Adresse noch in Firewall/Konfiguration/... eingetragen ist, ersetzen Sie sie bitte mit der neuen IP-Adresse 193.174.75.142</alert>
 ==== Clients ====
 <code>
 client tld1.eduroam.de {
     type tls
-    CertificateNameCheck Off
-    MatchCertificateAttribute SubjectAltName:DNS:/^tld1\.eduroam\.de$/
 }
 client tld2.eduroam.de {
     type tls
-    CertificateNameCheck Off
-    MatchCertificateAttribute SubjectAltName:DNS:/^tld2\.eduroam\.de$/
 }
 client tld3.eduroam.de {
     type tls
-    CertificateNameCheck Off
-    MatchCertificateAttribute SubjectAltName:DNS:/^tld3\.eduroam\.de$/
 }</code>
 ==== Server ====
@@ Zeile 68: / Zeile 64: @@
     type tls
     StatusServer on
-    CertificateNameCheck Off
-    MatchCertificateAttribute SubjectAltName:DNS:/^tld1\.eduroam\.de$/
 }
 server tld2.eduroam.de {
     type tls
     StatusServer on
-    CertificateNameCheck Off
-    MatchCertificateAttribute SubjectAltName:DNS:/^tld2\.eduroam\.de$/
 }
 server tld3.eduroam.de  {
     type tls
     StatusServer on
-    CertificateNameCheck Off
-    MatchCertificateAttribute SubjectAltName:DNS:/^tld3\.eduroam\.de$/
 }
 </code>
-<alert>Beim Start von Radsecproxy wird ein DNS-Lookup durchgeführt. Schlägt das DNS-Lookup fehl, startet Radsecproxy nicht.</alert>
+<alert>Beim Start von Radsecproxy wird ein DNS-Lookup durchgeführt. Schlägt das DNS-Lookup fehl, startet Radsecproxy nicht.
+Um unabhängig von DNS zu sein, kann die IP-Adresse statisch eingetragen werden, allerdings muss dann auch der Zertifikats-Namens-Check angepasst werden.
+</alert>
+Der folgende Code-Schnipsel ist ein Beispiel für die Konfiguration mit IP-Adresse. (Erfordert radsecproxy Version 1.10 oder höher)
+<code>
+server tld1.eduroam.de {
+    host 193.174.75.134
+    type tls
+    ServerName tld1.eduroam.de
+    StatusServer On
+}
+client tld1.eduroam.de {
+    host 193.174.75.134
+    type tls
+    ServerName tld1.eduroam.de
+}
+</code>
 ===== Konfiguration der Anbindung von lokalem RADIUS-Server und Access Points =====