Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
de:eduroam:anleitungen:radsecproxy [2023/02/24 08:20] – [Realm-Konfiguration] Ralf Paffrath | de:eduroam:anleitungen:radsecproxy [2023/06/27 17:30] (aktuell) – TCS-Konfiguration entfernt Jan-Frederik Rieckers | ||
---|---|---|---|
Zeile 51: | Zeile 51: | ||
} | } | ||
</ | </ | ||
- | ==== TCS (Sectigo) ==== | ||
- | < | ||
- | |||
- | Zertifikate von Sectigo können aktuell auch für die Föderationsverbindung genutzt werden. Auch hier müssen Sie über den TCS-Zugang Ihrer Einrichtung ein Zertifkat erstellen. | ||
- | |||
- | Wird TCS genutzt, senden auch die Föderationsserver ein TCS-Zertifikat, | ||
- | |||
- | < | ||
- | tls default { | ||
- | CACertificateFile | ||
- | CertificateFile | ||
- | CertificateKeyFile | ||
- | } | ||
- | </ | ||
===== Konfiguration der Föderationsserver ===== | ===== Konfiguration der Föderationsserver ===== | ||
Zeile 107: | Zeile 93: | ||
< | < | ||
- | client tld1 { | + | client tld1.eduroam.de |
- | host 193.174.75.134 # alternativ bei IPv6 host 2001: | + | host 193.174.75.134 |
+ | | ||
+ | #host 2001: | ||
type tls | type tls | ||
CertificateNameCheck Off | CertificateNameCheck Off | ||
MatchCertificateAttribute SubjectAltName: | MatchCertificateAttribute SubjectAltName: | ||
} | } | ||
- | client tld2 { | + | client tld2.eduroam.de |
- | host 193.174.75.138 # alternativ bei IPv6 host 2001: | + | host 193.174.75.138 |
+ | | ||
+ | #host 2001: | ||
type tls | type tls | ||
CertificateNameCheck Off | CertificateNameCheck Off | ||
MatchCertificateAttribute SubjectAltName: | MatchCertificateAttribute SubjectAltName: | ||
} | } | ||
- | client tld3 { | + | client tld3.eduroam.de |
- | host 194.95.245.98 # alternativ bei IPv6 host 2001: | + | host 194.95.245.98 |
+ | | ||
+ | #host 2001: | ||
type tls | type tls | ||
CertificateNameCheck Off | CertificateNameCheck Off | ||
MatchCertificateAttribute SubjectAltName: | MatchCertificateAttribute SubjectAltName: | ||
} | } | ||
- | server tld1 { | + | server tld1.eduroam.de |
- | host 193.174.75.134 # alternativ bei IPv6 host 2001: | + | host 193.174.75.134 |
+ | | ||
+ | #host 2001: | ||
type tls | type tls | ||
StatusServer on | StatusServer on | ||
Zeile 132: | Zeile 126: | ||
MatchCertificateAttribute SubjectAltName: | MatchCertificateAttribute SubjectAltName: | ||
} | } | ||
- | server tld2 { | + | server tld2.eduroam.de |
- | host 193.174.75.138 # alternativ bei IPv6 host 2001: | + | host 193.174.75.138 |
+ | | ||
+ | #host 2001: | ||
type tls | type tls | ||
StatusServer on | StatusServer on | ||
Zeile 139: | Zeile 135: | ||
MatchCertificateAttribute SubjectAltName: | MatchCertificateAttribute SubjectAltName: | ||
} | } | ||
- | server tld3 { | + | server tld3.eduroam.de |
- | host 194.95.245.98 # alternativ bei IPv6 host 2001: | + | host 194.95.245.98 |
+ | | ||
+ | #host 2001: | ||
type tls | type tls | ||
StatusServer on | StatusServer on | ||
Zeile 194: | Zeile 192: | ||
===== Realm-Konfiguration ===== | ===== Realm-Konfiguration ===== | ||
- | Das Routing der verschiedenen Realms geschieht über '' | + | Das Routing der verschiedenen Realms geschieht über '' |
+ | |||
+ | Um die Last auf den Föderationsserver des DFN zu verringern, sollten verbreitete Fehler in der Realm-Konfiguration bereits auf dem lokalen Radsecproxy abgefangen werden. | ||
+ | Dazu gehören z.B. Leerzeichen im Realm (z.B. am Ende, wenn Autocomplete genutzt wurde) oder 3GPP-Realms, | ||
+ | Da Radsecproxy die Realms sequenziell nach der Reihenfolge in der Konfiguration durchgeht, muss dieser Block entsprechend vor der Default-Regel stehen. | ||
< | < | ||
Zeile 202: | Zeile 204: | ||
} | } | ||
- | # Default-Regel: Alles unbekannte zu den DFN-Servern weiterleiten | + | # Abfangen von typischen Fehlkonfigurationen in Clients |
- | # Dieser | + | # (Vor dem Default-Block, |
- | realm * { | + | |
- | server tld1 | + | |
- | server tld2 | + | |
- | server tld3 | + | |
- | } | + | |
- | </ | + | |
- | + | ||
- | Um die Last auf den Föderationsserver des DFN zu verringern, können Sie verbreitete Fehler in der Realm-Konfiguration bereits auf Ihrem Radsecproxy abfangen. | + | |
- | + | ||
- | Da Radsecproxy | + | |
- | + | ||
- | < | + | |
realm /\.$/ { | realm /\.$/ { | ||
replymessage " | replymessage " | ||
Zeile 224: | Zeile 214: | ||
realm /\s/ { | realm /\s/ { | ||
replymessage " | replymessage " | ||
+ | } | ||
+ | |||
+ | # Default-Regel: | ||
+ | # Dieser Block sollte ganz am Ende der Konfiguration stehen | ||
+ | realm * { | ||
+ | server tld1.eduroam.de | ||
+ | server tld2.eduroam.de | ||
+ | server tld3.eduroam.de | ||
} | } | ||
</ | </ |