Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
de:eduroam:anleitungen:radsecproxy [2022/11/17 12:16] – Hinweis auf Beispielkonfiguration Jan-Frederik Rieckers | de:eduroam:anleitungen:radsecproxy [2023/06/27 17:30] (aktuell) – TCS-Konfiguration entfernt Jan-Frederik Rieckers | ||
---|---|---|---|
Zeile 51: | Zeile 51: | ||
} | } | ||
</ | </ | ||
- | ==== TCS (Sectigo) ==== | ||
- | < | ||
- | |||
- | Zertifikate von Sectigo können aktuell auch für die Föderationsverbindung genutzt werden. Auch hier müssen Sie über den TCS-Zugang Ihrer Einrichtung ein Zertifkat erstellen. | ||
- | |||
- | Wird TCS genutzt, senden auch die Föderationsserver ein TCS-Zertifikat, | ||
- | |||
- | < | ||
- | tls default { | ||
- | CACertificateFile | ||
- | CertificateFile | ||
- | CertificateKeyFile | ||
- | } | ||
- | </ | ||
===== Konfiguration der Föderationsserver ===== | ===== Konfiguration der Föderationsserver ===== | ||
Zeile 108: | Zeile 94: | ||
< | < | ||
client tld1.eduroam.de { | client tld1.eduroam.de { | ||
- | host 193.174.75.134 # alternativ bei IPv6 host 2001: | + | host 193.174.75.134 |
+ | | ||
+ | #host 2001: | ||
type tls | type tls | ||
CertificateNameCheck Off | CertificateNameCheck Off | ||
Zeile 114: | Zeile 102: | ||
} | } | ||
client tld2.eduroam.de { | client tld2.eduroam.de { | ||
- | host 193.174.75.138 # alternativ bei IPv6 host 2001: | + | host 193.174.75.138 |
+ | | ||
+ | #host 2001: | ||
type tls | type tls | ||
CertificateNameCheck Off | CertificateNameCheck Off | ||
Zeile 120: | Zeile 110: | ||
} | } | ||
client tld3.eduroam.de { | client tld3.eduroam.de { | ||
- | host 194.95.245.98 # alternativ bei IPv6 host 2001: | + | host 194.95.245.98 |
+ | | ||
+ | #host 2001: | ||
type tls | type tls | ||
CertificateNameCheck Off | CertificateNameCheck Off | ||
Zeile 126: | Zeile 118: | ||
} | } | ||
server tld1.eduroam.de { | server tld1.eduroam.de { | ||
- | host 193.174.75.134 # alternativ bei IPv6 host 2001: | + | host 193.174.75.134 |
+ | | ||
+ | #host 2001: | ||
type tls | type tls | ||
StatusServer on | StatusServer on | ||
Zeile 133: | Zeile 127: | ||
} | } | ||
server tld2.eduroam.de { | server tld2.eduroam.de { | ||
- | host 193.174.75.138 # alternativ bei IPv6 host 2001: | + | host 193.174.75.138 |
+ | | ||
+ | #host 2001: | ||
type tls | type tls | ||
StatusServer on | StatusServer on | ||
Zeile 139: | Zeile 135: | ||
MatchCertificateAttribute SubjectAltName: | MatchCertificateAttribute SubjectAltName: | ||
} | } | ||
- | server tld3.eduroam.de { | + | server tld3.eduroam.de |
- | host 194.95.245.98 # alternativ bei IPv6 host 2001: | + | host 194.95.245.98 |
+ | | ||
+ | #host 2001: | ||
type tls | type tls | ||
StatusServer on | StatusServer on | ||
Zeile 194: | Zeile 192: | ||
===== Realm-Konfiguration ===== | ===== Realm-Konfiguration ===== | ||
- | Das Routing der verschiedenen Realms geschieht über '' | + | Das Routing der verschiedenen Realms geschieht über '' |
+ | |||
+ | Um die Last auf den Föderationsserver des DFN zu verringern, sollten verbreitete Fehler in der Realm-Konfiguration bereits auf dem lokalen Radsecproxy abgefangen werden. | ||
+ | Dazu gehören z.B. Leerzeichen im Realm (z.B. am Ende, wenn Autocomplete genutzt wurde) oder 3GPP-Realms, | ||
+ | Da Radsecproxy die Realms sequenziell nach der Reihenfolge in der Konfiguration durchgeht, muss dieser Block entsprechend vor der Default-Regel stehen. | ||
< | < | ||
Zeile 202: | Zeile 204: | ||
} | } | ||
- | # Default-Regel: Alles unbekannte zu den DFN-Servern weiterleiten | + | # Abfangen von typischen Fehlkonfigurationen in Clients |
- | realm * { | + | # (Vor dem Default-Block, da sonst die Regeln nicht ausgewertet werden.) |
- | server tld1.eduroam.de | + | |
- | server tld2.eduroam.de | + | |
- | server tld3.eduroam.de | + | |
- | } | + | |
- | </ | + | |
- | Um die Last auf den Föderationsserver des DFN zu verringern, können Sie verbreitete Fehler in der Realm-Konfiguration bereits auf Ihrem Radsecproxy abfangen: | + | |
- | + | ||
- | < | + | |
realm /\.$/ { | realm /\.$/ { | ||
replymessage " | replymessage " | ||
Zeile 220: | Zeile 214: | ||
realm /\s/ { | realm /\s/ { | ||
replymessage " | replymessage " | ||
+ | } | ||
+ | |||
+ | # Default-Regel: | ||
+ | # Dieser Block sollte ganz am Ende der Konfiguration stehen | ||
+ | realm * { | ||
+ | server tld1.eduroam.de | ||
+ | server tld2.eduroam.de | ||
+ | server tld3.eduroam.de | ||
} | } | ||
</ | </ |