Dies ist eine alte Version des Dokuments!
eduroam Staging Server
Beschreibung der Staging Server und Nutzung
Um die sichere Anbindung Ihres eduroam IdP’s von außen über die tld[123].eduroam.de - Pfade zu testen, wurden vor einiger Zeit zwei Staging Server in Betrieb genommen.
Unter Berücksichtigung der Stabilität und Sicherheit für die eduroam Infrastruktur, können die Test so dicht wie möglich an der Realität durchgeührt werden.
Schritt für Schritt in die Testumgebung
1. Zertifikate erstellen
Erzeugen eines neuen Client/Server Zertifikats der DFN-PKI (Global) für einen komplett neuen RadSec Client/Server und einen aktiven eduroam Test-Account für Ihre Realms.
2. Eintrag der Staging Server in die RadSec Konfiguration
Parallel zu den produktiven eduroam RadSec Clients/Servern in eduroam, muss ein weiterer RadSec Client/Server mit einer anderen IP-Adresse als die produktiven eduroam RadSec Client/Server haben. Dieser neu zu konfigurierende RadSec Client/Server wird fester Bestandteil der DFN eduroam Staging Umgebung werden. Es werden keine produktiven RadSec Client/Server aus Gründen der Stabilitätssicherung der eduroam Infrastruktur in die Staging Umgebung integriert. Beispielkonfiguration für die Datei radsecproxy.conf: .... server DFN-state1 { host state1.eduroam.de certificatenamecheck off statusserver on type tls matchCertificateAttribute CN:/^state1\.eduroam\.de$/ } server DFN-state2 { host state2.eduroam.de certificatenamecheck off statusserver on type tls matchCertificateAttribute CN:/^state2\.eduroam\.de$/ } .... realm RealmIhrerEinrichtung.de { server DFN-state1 server DFN-state2 } ....
3. Kontakaufnahme
Kontaktaufnahme via Email an eduroam@dfn.de mit der Angabe der neuen IP-Adresse des RadSec Client/Servers sowie die Angabe des CN (Common Name)des RadSec Client/Server Zertifikats. Sobald der Client/Server eingetragen ist, gibt es Antwort vom eduroam Team.
4. Inbetriebnahme
Die Inbetriebnahme des Staging Umgebung erfolgt durch den Start der RadSec Software. In den Logfiles ist dann zu erkennen, ob die Integration des neuen RadSec Client/Servers erfolgreich veralufen ist.
5. Wie wird getestet?
Die Erreichbarkeits Pfade können einfach über die äußere Identität auf "Konopfdruck" wie folgt getestet werden: tld1@RealmIhrerEinrichtung.de (Pfad über tld1.eduroam.de) tld2@RealmIhrerEinrichtung.de (Pfad über tld2.eduroam.de) tld3@RealmIhrerEinrichtung.de (Pfad über tld3.eduroam.de) tld123@RealmIhrerEinrichtung.de (Test Ausfallsicherheit, Request geht über einen der aktiven tld's)
Wichtige Anmerkungen:
Getestet werden nur produktive Realms. Wahlweise kann auf Access-Accepts und auf Access-Rejects die eduroam Anbindung über die tld[123].eduroam.de geprüft werden, ohne die Stabilität der eduroam Infrastruktur zu gefährden.Die Staging Server prüfen, ob das Operator Flag Attribut im Request enthalten ist, wenn es nicht enthalten ist, wird das Attribut von den Staging Servern gesetzt.
Das Operator Flag Attribut ist kein personenbezogenes Datum, da es für alle eduroam Nutzenden in einer eduroam Service Provider (SP) Umgebung gleich ist. Das Operator Flag darf ausschließlich vom eduroam Service Providern und von den Föderations-Admins gesetzt werden.
Wie wird das Operator Flag gebildet? Vorangestellt wird eine 1, gefolgt von der Domain der Einrichtung (nicht unbedingt der Realm) und der Top Level Domain.
Beispiel: 1dfn.de
Das Operator Flag kann in der Staging Umgebung gesetzt werden, da der neue RadSec Client/Server ein eigener eduroam Service Provider ist.
Gemäß der eduroam Service Definition Policy darf ein gesetztes Operator Flag von einem eduroam Identity Provider nicht abgelehnt werden. Somit kann also getestet werden, ob der eigene RADIUS Server, gemäß der eduroam Policy, korrekt konfiguriert ist.