Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- de:eduroam:anleitungen:radsecproxy [2025/08/01 08:52] – [Konfiguration der Föderationsserver] Ralf Paffrath
+++ de:eduroam:anleitungen:radsecproxy [2026/03/24 12:04] (aktuell) – Jan-Frederik Rieckers
@@ Zeile 13: / Zeile 13: @@
 Die Verbindung zum Föderationsproxy wird über TLS abgesichert. Hierfür benötigt Radsecproxy ein Zertifikat, ebenso müssen die Zertifikate der Gegenstelle überprüft werden. Da radsecproxy in der Regel unter dem User-Account ''%%radsecproxy%%'' läuft, empfiehlt es sich, einen neuen Ordner ''%%/etc/radsecproxy%%'' anzulegen, auf dem der ''%%radsecproxy%%''-User entsprechende Leserechte besitzt.
-<alert>Die CA wird vom DFN fest gesetzt. Soll die CA also gewechselt werden, muss das in Koordination mit dem DFN erfolgen.</alert>
+<alert>Es muss zwingend ein Zertifikat aus der eduroam-CA verwendet werden. Zertifikate aus TCS (Harica) oder anderen Quellen akzeptieren wir nicht.</alert>
 ==== eduroam-CA ====
@@ Zeile 42: / Zeile 42: @@
 Der DFN-Verein betreibt 3 Föderationsserver mit folgenden Details:
-^ Name ^ IPv4 ^ IPv6 ^
+^ FQDN ^ IPv4 ^ IPv6 ^
 |tld1.eduroam.de |193.174.75.134 | 2001:638:d:c105::134 |
-|tld2.eduroam.de |193.174.75.138 | 2001:638:d:c105::138 |
+|tld2.eduroam.de |193.174.75.138 | 2001:638:d:c106::138 |
 |tld3.eduroam.de |193.174.75.142 | 2001:638:d:c108:26::1 |
 ==== Clients ====
@@ Zeile 50: / Zeile 50: @@
 client tld1.eduroam.de {
     type tls
-    CertificateNameCheck Off
-    MatchCertificateAttribute SubjectAltName:DNS:/^tld1\.eduroam\.de$/
 }
 client tld2.eduroam.de {
     type tls
-    CertificateNameCheck Off
-    MatchCertificateAttribute SubjectAltName:DNS:/^tld2\.eduroam\.de$/
 }
 client tld3.eduroam.de {
     type tls
-    CertificateNameCheck Off
-    MatchCertificateAttribute SubjectAltName:DNS:/^tld3\.eduroam\.de$/
 }</code>
 ==== Server ====
@@ Zeile 68: / Zeile 62: @@
     type tls
     StatusServer on
-    CertificateNameCheck Off
-    MatchCertificateAttribute SubjectAltName:DNS:/^tld1\.eduroam\.de$/
 }
 server tld2.eduroam.de {
     type tls
     StatusServer on
-    CertificateNameCheck Off
-    MatchCertificateAttribute SubjectAltName:DNS:/^tld2\.eduroam\.de$/
 }
 server tld3.eduroam.de  {
     type tls
     StatusServer on
-    CertificateNameCheck Off
-    MatchCertificateAttribute SubjectAltName:DNS:/^tld3\.eduroam\.de$/
 }
 </code>
-<alert>Beim Start von Radsecproxy wird ein DNS-Lookup durchgeführt. Schlägt das DNS-Lookup fehl, startet Radsecproxy nicht.</alert>
+<alert>Beim Start von Radsecproxy wird ein DNS-Lookup durchgeführt. Schlägt das DNS-Lookup fehl, startet Radsecproxy nicht.
+Um unabhängig von DNS zu sein, kann die IP-Adresse statisch eingetragen werden, allerdings muss dann auch der Zertifikats-Namens-Check angepasst werden.
+</alert>
+Der folgende Code-Schnipsel ist ein Beispiel für die Konfiguration mit IP-Adresse. (Erfordert radsecproxy Version 1.10 oder höher)
+<code>
+server tld1.eduroam.de {
+    host 193.174.75.134
+    type tls
+    ServerName tld1.eduroam.de
+    StatusServer On
+}
+client tld1.eduroam.de {
+    host 193.174.75.134
+    type tls
+    ServerName tld1.eduroam.de
+}
+</code>
 ===== Konfiguration der Anbindung von lokalem RADIUS-Server und Access Points =====