Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- de:eduroam:easyroam:vlan_in_easyroam [2024/05/30 11:11] – Ralf Paffrath
+++ de:eduroam:easyroam:vlan_in_easyroam [2026/05/07 11:14] (aktuell) – Ralf Paffrath
@@ Zeile 1: / Zeile 1: @@
 ==== Für Admins: Konfiguration von VLAN's in easyroam ====
 === Ausgangslage ===
-Selbstverständlich lassen sich auch VLAN's in easyroam konfigurieren. Ausgangskonfiguration ist eine typische RadSec Anbindung eines eduroam IdP's in easyroam am Beispiel des radsecproxy:
+Selbstverständlich lassen sich auch VLAN's in easyroam konfigurieren. Ausgangskonfiguration ist eine typische RadSec Anbindung eines eduroam SP's in easyroam am Beispiel des radsecproxy:
 <alert>/etc/radsec/radsecproxy.conf</alert>
@@ Zeile 26: / Zeile 26: @@
         CertificateFile    /etc/radsec/certs/eduroam-ca/eduroam-ca.pem
         CertificateKeyFile /etc/radsec/certs/eduroam-ca/eduroam-ca-key.pem
+}
 ###### Federationserver stuff ###
@@ Zeile 31: / Zeile 32: @@
 server  tld1 {
         host  193.174.75.134
-        certificatenamecheck off
+        ServerName tld1.eduroam.de
         statusserver on
         tls eduroamPKI
         type tls
-        matchCertificateAttribute SubjectAltName:DNS:/^(tld(1|2|3)\.eduroam\.de)$/
 }
 server  tld2 {
         host  193.174.75.138
-        certificatenamecheck off
+        ServerName tld2.eduroam.de
         statusserver on
         tls eduroamPKI
         type tls
-        matchCertificateAttribute SubjectAltName:DNS:/^(tld(1|2|3)\.eduroam\.de)$/
 }
 server  tld3 {
         host  194.95.245.98
-        certificatenamecheck off
+        ServerName tld3.eduroam.de
         statusServer on
         tls eduroamPKI
         type tls
-        matchCertificateAttribute SubjectAltName:DNS:/^(tld(1|2|3)\.eduroam\.de)$/
 }
 ##### Realm stuff ###
@@ Zeile 76: / Zeile 74: @@
 ####### local WLAN stuff ####
-client wlan_controllser {
+client wlan_controller {
      host <ip-addr>
      type udp
@@ Zeile 90: / Zeile 88: @@
  addAttribute           64:13
  addAttribute           65:6
- addAttribute           81:'64'
+ addAttribute           81:'64
 }
@@ Zeile 100: / Zeile 98: @@
         CertificateFile    /etc/radsec/certs/eduroam-ca/eduroam-ca.pem
         CertificateKeyFile /etc/radsec/certs/eduroam-ca/eduroam-ca-key.pem
+}
 ####### Federationsserver stuff ####
@@ Zeile 105: / Zeile 104: @@
 server  tld1 {
         host  193.174.75.134
-        certificatenamecheck off
+        ServerName tld1.eduroam.de
         statusserver on
         tls eduroamPKI
         rewriteIN addVLAN
         type tls
-        matchCertificateAttribute SubjectAltName:DNS:/^(tld(1|2|3)\.eduroam\.de)$/
 }
 server  tld2 {
         host  193.174.75.138
-        certificatenamecheck off
+        ServerName tld2.eduroam.de
         statusserver on
         tls eduroamPKI
         rewriteIN addVLAN
         type tls
-        matchCertificateAttribute SubjectAltName:DNS:/^(tld(1|2|3)\.eduroam\.de)$/
 }
 server  tld3 {
         host  194.95.245.98
-        certificatenamecheck off
+        ServerName tld3.eduroam.de
         statusServer on
         tls eduroamPKI
         rewriteIn addVLAN
         type tls
-        matchCertificateAttribute SubjectAltName:DNS:/^(tld(1|2|3)\.eduroam\.de)$/
 }
@@ Zeile 141: / Zeile 137: @@
 === Institutseigene Nutzende in privilegierte VLAN's ===
-Besteht die Aufgabe darin die eigenen easyroam Nutzenden in ein privilegiertes VLAN zu leiten, wird eine zusätzliche radsecproxy Instanz benötigt und die angepasste
+Besteht die Aufgabe darin die eigenen easyroam Nutzenden in ein privilegiertes VLAN zu leiten, wird eine zusätzliche radsecproxy Instanz benötigt und die angepasste Ausgangskonfiguration:
-die angepasste Ausgangskonfiguration:
 <alert>/etc/radsec/radsecproxy.conf</alert>
@@ Zeile 176: / Zeile 171: @@
         CertificateFile    /etc/radsec/certs/eduroam-ca/eduroam-ca.pem
         CertificateKeyFile /etc/radsec/certs/eduroam-ca/eduroam-ca-key.pem
+}
 ###### Federationserver stuff ###
@@ Zeile 181: / Zeile 177: @@
 server  tld1 {
         host  193.174.75.134
-        certificatenamecheck off
+        ServerName tld1.eduroam.de
         statusserver on
         tls eduroamPKI
         type tls
-        matchCertificateAttribute SubjectAltName:DNS:/^(tld(1|2|3)\.eduroam\.de)$/
 }
 server  tld2 {
         host  193.174.75.138
-        certificatenamecheck off
+        ServerName tld2.eduroam.de
         statusserver on
         tls eduroamPKI
         type tls
-        matchCertificateAttribute SubjectAltName:DNS:/^(tld(1|2|3)\.eduroam\.de)$/
 }
 server  tld3 {
         host  194.95.245.98
-        certificatenamecheck off
+        ServerName tld3.eduroam.de
         statusServer on
         tls eduroamPKI
         type tls
-        matchCertificateAttribute SubjectAltName:DNS:/^(tld(1|2|3)\.eduroam\.de)$/
 }
 ##### Realm stuff ###
-realm /@easyroam(-pca)?<instistut-realm>$/ {
+realm /@easyroam(-pca)?\.<instistut-realm>$/ {
         server localloop
 }
@@ Zeile 233: / Zeile 226: @@
  addAttribute           64:13
  addAttribute           65:6
- addAttribute           81:'64'
+ addAttribute           81:'64
 }
@@ Zeile 257: / Zeile 250: @@
         CertificateFile    /etc/radsec/certs/eduroam-ca/eduroam-ca.pem
         CertificateKeyFile /etc/radsec/certs/eduroam-ca/eduroam-ca-key.pem
+}
 ####### Federationsserver stuff ####
 server  tld1 {
         host  193.174.75.134
-        certificatenamecheck off
+        ServerName tld1.eduroam.de
         statusserver on
         tls eduroamPKI
         type tls
-        matchCertificateAttribute SubjectAltName:DNS:/^(tld(1|2|3)\.eduroam\.de)$/
 }
 server  tld2 {
         host  193.174.75.138
-        certificatenamecheck off
+        ServerName tld2.eduroam.de
         statusserver on
         tls eduroamPKI
         type tls
-        matchCertificateAttribute SubjectAltName:DNS:/^(tld(1|2|3)\.eduroam\.de)$/
 }
 server  tld3 {
         host  194.95.245.98
-        certificatenamecheck off
+        ServerName tld3.eduroam.de
         statusServer on
         tls eduroamPKI
         type tls
-        matchCertificateAttribute SubjectAltName:DNS:/^(tld(1|2|3)\.eduroam\.de)$/
 }
 ###### realm stuff #####
-realm realm /@easyroam(-pca)?<instituts-realm>$/ {
+realm realm /@easyroam(-pca)?\.<instituts-realm>$/ {
  server tld1
  server tld2
@@ Zeile 389: / Zeile 379: @@
 === Kombinieren ===
-Die angeführten Beispiele lassen sich beliebig kombinieren. Zu beachten ist jedoch, dass lokale Loops konfiguriert werden können. Externe Loops, die den eduroam Betrieb gefährden könnten, sind ausgeschlossen, da unsere Server in der Regel mit einem Reject oder Accept antworten. In den Beispielen werden zwei Uplinks zu den Föderationsservern etabliert. Es ist aber auch möglich mit einem Beinchen zu den Föderationsservern VLAN's für die eigenen easyroam Nutzenden zu konfigurieren. Auch gezielt, easyroam Nutzende (extern/interne) in privilegierte VLAN's zu leiten, ist möglich. Das entscheidet jedoch lokal jeder Admin selbst.
+Die angeführten Beispiele lassen sich beliebig kombinieren. Zu beachten ist jedoch, dass lokale Loops konfiguriert werden können. Externe Loops, die den eduroam Betrieb gefährden könnten, sind ausgeschlossen, da unsere Server in der Regel mit einem Reject oder Accept antworten. In den Beispielen werden zwei Uplinks zu den Föderationsservern etabliert. Es ist aber auch möglich mit einem Beinchen zu den Föderationsservern VLAN's für die eigenen easyroam Nutzenden zu konfigurieren. Auch gezielt, easyroam Nutzende (extern/interne) in privilegierte VLAN's zu leiten, ist möglich.