RadSec Proxy: Unterschied zwischen den Versionen

Aus Doku-Wiki
Zur Navigation springenZur Suche springen
(Die Seite wurde neu angelegt: „== RadSec Proxy == === Installation === aptitude install radsecproxy fuse === Konfiguration === Soll der Radsecproxy auf dem gleichen System installiert werde…“)
 
 
(4 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
== RadSec Proxy ==
+
= Links =
=== Installation ===
+
* [https://www.dfn.de/fileadmin/1Dienstleistungen/Roaming/Einrichtung_von_radsecproxy.pdf RadSec Proxy]
 +
 
 +
= Installation =
 
  aptitude install radsecproxy fuse
 
  aptitude install radsecproxy fuse
=== Konfiguration ===
+
= Konfiguration =
Soll der Radsecproxy auf dem gleichen System installiert werden wie der Radiusserver, muss für den Port UDP 1814 eine andere Portnummer gewählt werden, da der Radiusserver auf diesem Anfragen annimmt. <br />
+
Soll der Radsecproxy auf dem gleichen System installiert werden wie der Radiusserver, muss für den Port UDP 1814 eine andere Portnummer gewählt werden, da der Radiusserver auf diesem Anfragen annimmt.  
Beispiel Config:
+
* Beispielkonfiguration:
 
  ListenUDP              127.0.0.1:2084
 
  ListenUDP              127.0.0.1:2084
 
  ListenUDP              127.0.0.1:2085
 
  ListenUDP              127.0.0.1:2085
 
  ListenTLS              172.20.60.1:2083
 
  ListenTLS              172.20.60.1:2083
  LogLevel                5
+
  LogLevel                3
 
  LogDestination          file:///var/log/radsecproxy.log
 
  LogDestination          file:///var/log/radsecproxy.log
 
  LoopPrevention          on
 
  LoopPrevention          on
Zeile 31: Zeile 33:
 
         type udp
 
         type udp
 
         port 1812
 
         port 1812
         secret Ade86Drze083Hz2WE
+
         secret [GeheimesSecret]
 
  }
 
  }
 
  server local-radius-accounting {
 
  server local-radius-accounting {
Zeile 37: Zeile 39:
 
         type udp
 
         type udp
 
         port 1813
 
         port 1813
         secret Ade86Drze083Hz2WE
+
         secret [GeheimesSecret]
 
  }
 
  }
 
   
 
   
Zeile 47: Zeile 49:
  
 
Wenn der Radiusserver nicht auf dem selben System installiert ist, muss dieser in der Client und Server Sektion eingetragen werden.  
 
Wenn der Radiusserver nicht auf dem selben System installiert ist, muss dieser in der Client und Server Sektion eingetragen werden.  
==== Erweiterung für eduroam ====
+
== Erweiterung für eduroam ==
 
  # Client
 
  # Client
 
  client tlr1 {
 
  client tlr1 {

Aktuelle Version vom 14. Dezember 2015, 12:32 Uhr

Links

Installation

aptitude install radsecproxy fuse

Konfiguration

Soll der Radsecproxy auf dem gleichen System installiert werden wie der Radiusserver, muss für den Port UDP 1814 eine andere Portnummer gewählt werden, da der Radiusserver auf diesem Anfragen annimmt.

  • Beispielkonfiguration:
ListenUDP               127.0.0.1:2084
ListenUDP               127.0.0.1:2085
ListenTLS               172.20.60.1:2083
LogLevel                3
LogDestination          file:///var/log/radsecproxy.log
LoopPrevention          on

# SSL Config
tls default {
   CACertificateFile   = /etc/ssl/certs/SSLCertifikateChainFile.pem
   CertificateFile     = /etc/ssl/certs/radius1.example.com.crt.pem
   CertificateKeyFile  = /etc/ssl/private/radius1.example.com.key.pem
   CertificateKeyPassword = [GEHEIM]
}

# Clients die zugreifen dürfen
client 127.0.0.1 {
        type udp
        secret [GeheimesSecret]
}

# Server die angefragt werden
server local-radius {
        host 127.0.0.1
        type udp
        port 1812
        secret [GeheimesSecret]
}
server local-radius-accounting {
        host 127.0.0.1
        type udp
        port 1813
        secret [GeheimesSecret]
}

# REALM
realm example.com {
        server local-radius
        accountingserver local-radius-accounting
}

Wenn der Radiusserver nicht auf dem selben System installiert ist, muss dieser in der Client und Server Sektion eingetragen werden.

Erweiterung für eduroam

# Client
client tlr1 {
        host 193.174.75.134
        type tls
        certificatenamecheck off
        matchCertificateAttribute CN:/^radius1\.dfn\.de$/
}
client tlr2 {
        host 193.174.75.138
        type tls
        certificatenamecheck off
        matchCertificateAttribute CN:/^radius2\.dfn\.de$/
}

# Server
server tlr1 {
        host 193.174.75.134
        type tls
        certificatenamecheck off
        matchCertificateAttribute CN:/^radius1\.dfn\.de$/
        StatusServer on
}
server tlr2 {
        host 193.174.75.138
        type tls
        certificatenamecheck off
        matchCertificateAttribute CN:/^radius2\.dfn\.de$/
        StatusServer on
}
 
# REALM
realm * {
        server tlr1
        server tlr2
        accountingserver tlr1
        accountingserver tlr2
}