Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
de:eduroam:eduroam_staging_server [2022/04/07 12:38] – angelegt Ralf Paffrath | de:eduroam:eduroam_staging_server [2025/01/01 08:13] (aktuell) – [Schritt für Schritt in die Testumgebung] Ralf Paffrath | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
====== eduroam Staging Server ====== | ====== eduroam Staging Server ====== | ||
+ | |||
+ | ===== Beschreibung der Staging Server und Nutzung ===== | ||
+ | |||
+ | Um die Anbindung Ihres eduroam IdP’s von außen über die tld[123].eduroam.de - Pfade zu testen, wurden vor einiger Zeit zwei | ||
+ | Staging Server in Betrieb genommen. | ||
+ | |||
+ | Unter Berücksichtigung der Stabilität und Sicherheit für die eduroam Infrastruktur, | ||
+ | |||
+ | ==== Schritt für Schritt in die Testumgebung ==== | ||
+ | |||
+ | === 1. Zertifikate erstellen === | ||
+ | |||
+ | < | ||
+ | Erzeugen eines neuen Client/ | ||
+ | </ | ||
+ | === 2. Eintrag der Staging Server in die RadSec Konfiguration === | ||
+ | < | ||
+ | Parallel zu den produktiven eduroam RadSec Clients/ | ||
+ | Beispielkonfiguration für die Datei radsecproxy.conf: | ||
+ | .... | ||
+ | server DFN-state1 { | ||
+ | host state1.eduroam.de | ||
+ | certificatenamecheck off | ||
+ | statusserver on | ||
+ | type tls | ||
+ | matchCertificateAttribute SubjectAltName: | ||
+ | } | ||
+ | server DFN-state2 { | ||
+ | host state2.eduroam.de | ||
+ | certificatenamecheck off | ||
+ | statusserver on | ||
+ | type tls | ||
+ | matchCertificateAttribute SubjectAltName: | ||
+ | } | ||
+ | .... | ||
+ | |||
+ | realm RealmIhrerEinrichtung.de { | ||
+ | | ||
+ | | ||
+ | } | ||
+ | .... | ||
+ | </ | ||
+ | |||
+ | === 3. Kontakaufnahme === | ||
+ | < | ||
+ | Kontaktaufnahme via Email an eduroam@dfn.de mit der Angabe der neuen IP-Adresse des RadSec Client/ | ||
+ | </ | ||
+ | === 4. Inbetriebnahme === | ||
+ | < | ||
+ | Die Inbetriebnahme der Staging Umgebung erfolgt durch den Start der RadSec Software. In den Logfiles ist dann zu erkennen, ob die Integration des neuen RadSec Client/ | ||
+ | |||
+ | </ | ||
+ | === 5. Wie wird getestet? === | ||
+ | **National: | ||
+ | < | ||
+ | Die Erreichbarkeits-Pfade können einfach über die äußere Identität auf " | ||
+ | wie folgt getestet werden: | ||
+ | |||
+ | tld1@RealmIhrerEinrichtung.de (Pfad über tld1.eduroam.de) | ||
+ | |||
+ | tld2@RealmIhrerEinrichtung.de (Pfad über tld2.eduroam.de) | ||
+ | |||
+ | tld3@RealmIhrerEinrichtung.de (Pfad über tld3.eduroam.de) | ||
+ | |||
+ | tld123@RealmIhrerEinrichtung.de (Test Ausfallsicherheit, | ||
+ | einen der aktiven tld's) | ||
+ | </ | ||
+ | **International: | ||
+ | < | ||
+ | wie folgt getestet werden: | ||
+ | |||
+ | etlr1-tld' | ||
+ | etlr2-tld' | ||
+ | </ | ||
+ | |||
+ | ==== Wichtige Anmerkungen: | ||
+ | |||
+ | < | ||
+ | |||
+ | Die Staging Server prüfen, ob das Operator Name Attribut (RFC 5580) im Request enthalten ist, wenn es nicht enthalten ist, wird das Attribut von den Staging Servern gesetzt. | ||
+ | |||
+ | Das Operator Name Attribut ist kein personenbezogenes Datum, da es für alle eduroam Nutzenden in einer eduroam Service Provider (SP) Umgebung gleich ist. Das Operator Name Attribut darf ausschließlich vom eduroam Service Providern und von den Föderations-Admins gesetzt werden. | ||
+ | |||
+ | Wie wird das Operator Name Attribut gebildet? Vorangestellt wird eine 1, gefolgt von der Domain der Einrichtung (nicht unbedingt der Realm) und der Top Level Domain. | ||
+ | |||
+ | Beispiel: 1dfn.de | ||
+ | |||
+ | Das Operator Name Attribut kann in der Staging Umgebung gesetzt werden, da der neue RadSec Client/ | ||
+ | |||
+ | Gemäß der eduroam Service Definition Policy darf ein im Request enthaltenes Operator Name Attribut von einem eduroam Identity Provider nicht abgelehnt werden. Somit kann also getestet werden, ob der eigene RADIUS Server, gemäß der eduroam Policy, korrekt konfiguriert ist. | ||
+ | </ | ||