eduroam Staging Server

Um die Anbindung Ihres eduroam IdP’s von außen über die tld[123].eduroam.de - Pfade zu testen, wurden vor einiger Zeit zwei Staging Server in Betrieb genommen.

Unter Berücksichtigung der Stabilität und Sicherheit für die eduroam Infrastruktur, können die Test so dicht wie möglich an der Realität durchgeführt werden. Somit ist es möglich, ein Qualitätsmanagement für eduroam in der eigenen Einrichtung zu betreiben.

1. Zertifikate erstellen

Erzeugen eines neuen Client/Server Zertifikats der DFN-PKI (Global) für einen komplett neuen RadSec Client/Server und einem aktiven eduroam Test-Account für Ihre Realms.

2. Eintrag der Staging Server in die RadSec Konfiguration

Parallel zu den produktiven eduroam RadSec Clients/Servern in eduroam, wird ein weiterer RadSec Client/Server mit einer anderen IP-Adresse als die produktiven eduroam RadSec Client/Server haben konfiguriert. Dieser neu zu erstellende RadSec Client/Server wird fester Bestandteil der DFN eduroam Staging Umgebung werden. Es werden keine produktiven RadSec Client/Server aus Gründen der Stabilitätssicherung der eduroam Infrastruktur in die Staging Umgebung integriert.
Beispielkonfiguration für die Datei radsecproxy.conf:
....
server DFN-state1 {
      host state1.eduroam.de
      certificatenamecheck off
      statusserver on
      type tls
      matchCertificateAttribute SubjectAltName:DNS:/^(state(1|2)\.eduroam\.de)$/
}
server DFN-state2 {
      host state2.eduroam.de
      certificatenamecheck off
      statusserver on
      type tls
      matchCertificateAttribute SubjectAltName:DNS:/^(state(1|2)\.eduroam\.de)$/
}
....

realm RealmIhrerEinrichtung.de {
     server DFN-state1
     server DFN-state2
}
....

3. Kontakaufnahme

Kontaktaufnahme via Email an eduroam@dfn.de mit der Angabe der neuen IP-Adresse des RadSec Client/Servers sowie die Angabe des CN (Common Name) des RadSec Client/Server Zertifikats. Sobald der Client/Server eingetragen ist, gibt es Antwort vom eduroam Team.

4. Inbetriebnahme

Die Inbetriebnahme der Staging Umgebung erfolgt durch den Start der RadSec Software. In den Logfiles ist dann zu erkennen, ob die Integration des neuen RadSec Client/Servers erfolgreich verlaufen ist.

5. Wie wird getestet?

Die Erreichbarkeits-Pfade können einfach über die äußere Identität auf "Knopfdruck" 
wie folgt getestet werden:

tld1@RealmIhrerEinrichtung.de (Pfad über tld1.eduroam.de)

tld2@RealmIhrerEinrichtung.de (Pfad über tld2.eduroam.de)

tld3@RealmIhrerEinrichtung.de (Pfad über tld3.eduroam.de)

tld123@RealmIhrerEinrichtung.de (Test Ausfallsicherheit, Request geht über
einen der aktiven tld's)
  • Zuletzt geändert: vor 2 Monaten