Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

Status eduroam Tom Myren – oktober 2013.

PublisertΕυγένεια Κοτζιάς Endret for 5 år siden

Liknende presentasjoner

Presentasjon om: "Status eduroam Tom Myren – oktober 2013."— Utskrift av presentasjonen:

1 Status eduroam Tom Myren – oktober 2013

2 Accounting SP - ikke krav om sending av accounting, men mottak.
Litt forskjellig praksis – noen har konfigurert sende og motta, andre ikke. Kan gi problem for de SP som sender accounting Policy sier The eduroam identity provider authentication server(s) must be reachable from the eduroam resource provider's authentication servers for authentication and accounting purposes. eduroam resource providers must log all RADIUS authentication and accounting requests. The following information must be recorded: The date and time the authentication request was received. The RADIUS request's identifier. The authentication result returned by the authentication database. The reason given if the authentication was denied or failed. The value of the request's accounting status type. Om accounting og auth server er samme server i WLC vil accounting normalt bli sendt. SP - ikke krav om sending av accounting, men mottak. Problem består i at accounting svar (acc respons) ikke kommer, dermed re-transmisjon og logger som fylles. 20. november 2018

3 Dynamisk ruting / radsec
Dynamisk ruting av radius request krever Radsec støtte i RADIUS og oppsett i DNS. Radsec støtte integrert i Radiator og FreeRADIUS kommer. Løsning så langt er bruk av RadSecproxy sammen med ikke RadSec RADIUS. Foreløpig lite ønskelig med dynamisk ruting til hver IdP (manglende statistikk uten F-ticks rapportering) – men en anbefaling om dynamisk ruting til NTLS. UNINETT – klart for slik ruting Her finnes god forklaring For å gjøre realm dynamisk internasjonalt kreves kun en DNS record Reduserer tiden for autentisering ved internasjonal roaming. se konfig for utgående, og innkommende – på hegre + trane Sjekk om realm fungerer, bruk cat.eduroam.org inne på eget realm. 20. november 2018

4 Dymanisk ruting oppsett IdP
Eksempel: inst.no IN NAPTR “s” “x-eduroam:radius.tls” “” _radsec._tcp.uninett.no Betyr at eduroam auth for inst.no bruker Radius/TLS med target _radsec._tcp.uninett.no dig naptr uninett.no ; <<>> DiG P3 <<>> naptr uninett.no ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 15749 ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 5, ADDITIONAL: 11 ;; QUESTION SECTION: ;uninett.no IN NAPTR ;; ANSWER SECTION: uninett.no IN NAPTR "s" "SIP+D2U" "" _sip._udp.uninett.no. uninett.no IN NAPTR "s" "x-eduroam:radius.tls" "" _radsec._tcp.uninett.no. 43200 – TTL, 100 – order (laveste vinner), 10 – preference, brukes hvis flere NAPTR med samme order (alterner mellom) “s” – naptr resolved to hostnames by doing SRV lookup on target. X-eduroam:radius.tls – service, only resolve target if this is the service you look for. “” – regexp, kan endre target navn – brukes ikke for eduroam. _radsec._tcp – target navn. En SRV record for dette må finnes og peke til hegre og trane 20. november 2018

5 SRV records /usr/pkg/etc/radsecproxy/eduroam.d$dig srv _radsec._tcp.uninett.no ; <<>> DiG P4 <<>> srv _radsec._tcp.uninett.no ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 39791 ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 5, ADDITIONAL: 9 ;; QUESTION SECTION: ;_radsec._tcp.uninett.no IN SRV ;; ANSWER SECTION: _radsec._tcp.uninett.no IN SRV hegre.uninett.no. _radsec._tcp.uninett.no IN SRV trane.uninett.no. 20. november 2018

6 Ny RadSecProxy for eksterne SP
Eduroam-ext-osl og eduroam-ext-trd Introdusert ifm eduroam hos Avinor Mulighet for flere eksterne SP via samme proxy Fortsatt OK med alternative løsninger som Trådløse Trondheim Kun server i Olso kjører pt. 20. november 2018

7 Nye NTLS kommer Hegre og trane må byttes, de kjører andre tjenester som ikke er eduroam relatert Nye tjenere er på nett, og kun justeringer gjenstår. Bytte av nasjonale proxy må gjøres i bestemt rekkefølge Det kreves at alle gjør endringer til rett tid eduroam-oslo.uninett.no has address eduroam-oslo.uninett.no has IPv6 address 2001:700:0:4120::8:18 eduroam-tromso.uninett.no has address eduroam-tromso.uninett.no has IPv6 address 2001:700:0:4701::5:18 Justeringer = eduPKI sert, cfengine – revisjonskontroll og annet OS nært, tilpasse syslog, F-ticks. Også nevne at IPv6 fungerer på både hegre/trane og nye servere. Det er operativt mot hioa nå. Mangel er at ikke hele ipv6 adressen viser i edudbg. 20. november 2018

8 Hva må gjøres Legge “all” konfigurasjon over fra H/T til nye tjenere. (OK - sertifikater) Alle IdP’er må legge til eduroam-oslo og eduroam-tromso som klienter (Nov -Des) Ingen endringer av secrets Europeisk topp nivå må legge til nye servere som klienter (Nov – Des) Når 2 og 3 er ferdig, kan alle SP legge til og bruke de nye serverene. (Jan) Ingen trafikk via Hegre / Trane når 4 er utført. Fjerne Hegre og Trane fra alle IdP og SP Noen innvendinger, forslag? Er det gjennomførbart – ferdig i Januar? Hos UNINETT må vi i overgangs perioden rapportere F-ticks fra 4 servere 20. november 2018

9 Diverse Sjekk - surfnet har brukt eduroam DB til å lage hotspot heatmap CAT bruk / utvikling / problem 343 registrerte IdP’s, nær 100K nedlastinger. 24 institusjoner i .no, få er aktivt i bruk Eksempel på konfig “hjelp” som ikke ivaretar sikkerhet Realmstatus – benytter TTLS for testing nå, ref PEAP problemer mot bla UNIS Anbefalt lesning for RADIUS server sertifikat Aerohive har maks User-Name AVP på 31 tegn – for noen gir det proxy problem Fra TF-MNM – MVNO forslag for UH, fjerne roaming kostnad, lang sikt, “politiske” hinder. CAT – har veldig bra realm check, med feil indikasjoner. Funksjonen forventet utvidet i neste CAT versjon. Har ikke sjekket alle – HIL er største bruker jeg har observert. Flere uten en produksjonsklar profil. Realmstatus – PEAP testing med ikke eksisterende bruker eller passord, gir for noen RADIUS’er ikke reject, men en ny challenge som test supplikant (eapol_test i WPA-supplikant) ikke kan håndtere. Radius server sertifikat – pr definisjon trengs kun CA sertifikat på device, men hele kjeden server, intermediates og CA må være tilgjengelig for auth. Server sert må sendes under auth, CA bør ikke sendes med være pre-installert. Intermediates kan pre-installeres eller sendes med – det har +(blir ikke utdatert på klient) –(øker payload under auth, tar lengre tid) 20. november 2018

Laste ned ppt "Status eduroam Tom Myren – oktober 2013."

Liknende presentasjoner

IPSec og VPN.

IPSec og VPN.
Method for evaluating authentication system quality Morten Sporild.

Method for evaluating authentication system quality Morten Sporild.
Trådløst karantenenett

Trådløst karantenenett
Section 5.4 Sum and Difference Formulas These formulas will be given to you on the test.

Section 5.4 Sum and Difference Formulas These formulas will be given to you on the test.
Introduksjon.  ITIL står for Information Technology Infrastructure Library.  Det er mye snakk om ITIL i næringslivet for tiden, og veldig mange bedrifter.

Introduksjon.  ITIL står for Information Technology Infrastructure Library.  Det er mye snakk om ITIL i næringslivet for tiden, og veldig mange bedrifter.
Tallinja Audun Merete Veronika. En kort beskrivelse; Målet er å få en større forståelse for tall og tallinja, å kunne plassere hele tal, negative og positive,

Tallinja Audun Merete Veronika. En kort beskrivelse; Målet er å få en større forståelse for tall og tallinja, å kunne plassere hele tal, negative og positive,
1 Rammen for arbeidet i KOSTRA Mandatene for –Samordningsrådet –arbeidsgruppene Mandatet for Samordningsrådet –Sammensetning  KRD (ledelse), berørte dept.,

1 Rammen for arbeidet i KOSTRA Mandatene for –Samordningsrådet –arbeidsgruppene Mandatet for Samordningsrådet –Sammensetning  KRD (ledelse), berørte dept.,
Kidsmonitor tutorials for mobil. Innhold S. 3 Endre tidspunkt for hjemsending S. 10 Endre fast tidspunkt for hjemsending S. 17 Sende melding S. 20 Sjekke.

Kidsmonitor tutorials for mobil. Innhold S. 3 Endre tidspunkt for hjemsending S. 10 Endre fast tidspunkt for hjemsending S. 17 Sende melding S. 20 Sjekke.
Tilbudskonferanse 16.03.15 v/Elisabeth Solberg og Bjørn Eivind Berge Byrådsavdeling for helse og omsorg Oppdragsgivers spesifikasjon Bilag 1.

Tilbudskonferanse v/Elisabeth Solberg og Bjørn Eivind Berge Byrådsavdeling for helse og omsorg Oppdragsgivers spesifikasjon Bilag 1.
Eksterne epikriser – hvordan sikre at de når frem til rett mottaker Digital samhandling, OUS –

Eksterne epikriser – hvordan sikre at de når frem til rett mottaker Digital samhandling, OUS –
Vg privatskoleinnsamlinger Erfaringer, utfordringer og forbedringspunkter 10.30 – 11.30 Ove Halseth, WIS AS.

Vg privatskoleinnsamlinger Erfaringer, utfordringer og forbedringspunkter – Ove Halseth, WIS AS.
Holdninger til helseforsikring

Holdninger til helseforsikring
Trond H. Amundsen GSD, IT-DRIFT, USIT

Trond H. Amundsen GSD, IT-DRIFT, USIT
Hvorfor skal vi måle? Hvordan?

Hvorfor skal vi måle? Hvordan?
Konkurranse grupper Januar 2017

Konkurranse grupper Januar 2017
Inntakskvalitetsundersøkelsen 2010

Inntakskvalitetsundersøkelsen 2010
UiO sitt e-postsystem v/Bård Jakobsen mfl..

UiO sitt e-postsystem v/Bård Jakobsen mfl..
Status og videre fremdrift

Status og videre fremdrift
DRI3001 V-16 Bacheloroppgave

DRI3001 V-16 Bacheloroppgave
IST Barnehage/SFO - Nyheter

IST Barnehage/SFO - Nyheter

Liknende presentasjoner

Annonser fra Google