3. Discovery Dinamico¶
Applicabile solo agli Identity Provider per realm diversi da .it.
Al fine di supportare la crescente richiesta di registrazione di realm diversi dal .it come ad es. .eu, .com, .org, etc., GARR ha attivato sui propri Radius Server nazionali RADSEC Dynamic Discovery che consente:
di poter comunicare con le altre NREN che implementano l'analogo meccanismo senza necessariamente passare per gli European Tol Level Radius Servers, riducendo il numero di hop che una richiesta di autenticazione deve attraversare a beneficio dell'efficienza
di determinare a quale radius server una richiesta di autenticazione deve essere inoltrata attraverso una query DNS
Configurando come di seguito indicato il proprio DNS, un Identity Provider italiano dichiara che i server autoritativi per il proprio realm sono i server GARR della federazione italiana.
Pertanto quando un utente è in visita all'estero, la Visited Institution (o la relativa NREN) effettua una query DNS cercando il record NAPTR. Il risultato della query è rappresentato dai server radius.garr.net e radius2.garr.net: la richiesta quindi arriva ai server GARR che la inoltrano ai server autoritativi per il realm in oggetto secondo la metodologia usuale.
3.1. Come si configura¶
La sola configurazione che deve essere effettuata da un Identity Provider è l'inserimento nella zona DNS relativa al realm in oggetto di un record NAPTR così configurato:
<realm>. 43200 IN NAPTR 100 10 "s" "x-eduroam:radius.tls" "" _radsec._tcp.eduroam.it
Ad esempio, per il realm garr.eu:
# Nella zona DNS per il dominio garr.eu inserire
garr.eu. 43200 IN NAPTR 100 10 "s" "x-eduroam:radius.tls" "" _radsec._tcp.eduroam.it
Avvertimento
Alcuni server DNS non supportano il record NAPTR come Windows Server 2003 DNS Server, Windows 2008 non-R2 DNS Server, djbdns
Nota
La suddetta configurazione non è necessaria per i realm .it