Discovery Dinamico¶
Applicabile solo agli Identity Provider per realm diversi da .it.
Al fine di supportare la crescente richiesta di registrazione di realm diversi dal .it come ad es. .eu, .com, .org, etc., GARR ha attivato sui propri Radius Server nazionali RADSEC Dynamic Discovery che consente:
- di poter comunicare con le altre NREN che implementano l'analogo meccanismo senza necessariamente passare per gli European Top Level Radius Servers, riducendo il numero di hop che una richiesta di autenticazione deve attraversare a beneficio dell'efficienza
- di determinare a quale radius server una richiesta di autenticazione deve essere inoltrata attraverso una query DNS
Configurando come di seguito indicato il proprio DNS, un Identity Provider italiano dichiara che i server autoritativi per il proprio realm sono i server GARR della federazione italiana.
Pertanto quando un utente Γ¨ in visita all'estero, la Visited
Institution (o la relativa NREN) effettua una query DNS cercando il
record NAPTR. Il risultato della query Γ¨ rappresentato dai server : la
richiesta quindi arriva ai server GARR che la inoltrano ai server
autoritativi per il realm in oggetto secondo la metodologia usuale.
Come si configura¶
La sola configurazione che deve essere effettuata da un Identity
Provider Γ¨ l'inserimento nella zona DNS relativa al realm in oggetto di
un record NAPTR così configurato:
<realm>. 43200 IN NAPTR 100 10 "s" "x-eduroam:radius.tls" "" _radsec._tcp.eduroam.it.
Ad esempio, per il realm garr.eu:
# Nella zona DNS per il dominio garr.eu inserire
garr.eu. 43200 IN NAPTR 100 10 "s" "x-eduroam:radius.tls" "" _radsec._tcp.eduroam.it.
Significato dei campi¶
| Campo | Valore nell'esempio | Descrizione |
|---|---|---|
| Order | 100 |
PrioritΓ tra piΓΉ record NAPTR per lo stesso label; valori piΓΉ bassi vengono preferiti |
| Preference | 10 |
Peso tra record con lo stesso Order; utilizzato per load-balancing |
| Flags | "s" |
Indica che il target deve essere risolto tramite un successivo SRV lookup. Deve essere "s" |
| Service | "x-eduroam:radius.tls" |
Identifica il servizio eduroam su RADIUS/TLS. Valore fisso, non modificare |
| Regexp | "" |
Deve essere la stringa vuota. eduroam non utilizza questa funzionalitΓ |
| Target | _radsec._tcp.eduroam.it. |
Hostname SRV target gestito dalla federazione nazionale |
Errori di configurazione da evitare
- Il flag deve essere
"s": usare"a"o"u"Γ¨ un errore di configurazione - Il campo regexp deve essere la stringa vuota
"" - Il servizio
"x-eduroam:radius.tls"Γ¨ un valore fisso e non deve essere modificato
Come funziona la risoluzione¶
La risoluzione del record NAPTR avviene in tre passaggi:
- Il server che riceve la richiesta di autenticazione interroga il
record NAPTR del realm β ottiene il target SRV
(
_radsec._tcp.eduroam.it) - Risolve il record SRV del target β ottiene hostname e porta dei server RADIUS nazionali
- Risolve il record A/AAAA degli hostname β ottiene gli indirizzi IP dei server e completa il discovery
Attenzione
Alcuni server DNS non supportano il record NAPTR come Windows Server 2003 DNS Server, Windows 2008 non-R2 DNS Server, djbdns
Note
La suddetta configurazione non Γ¨ necessaria per i realm .it