Vai al contenuto

πŸ”’ Server radius

Dopo aver inviato il modulo ed aver ricevuto l'approvazione da parte del GARR ad entrare a far parte della federazione eduroam, il reparto tecnico del servizio eduroam invierΓ  un'email ai contatti tecnici nominati nel modulo di adesione con cui chiederΓ :

  • il nome o IP del radius o dei radius server dell'ente
  • il secret di almeno 15 caratteri alfanumerici.

Note

Il secret, per motivi di sicurezza, dovrΓ  essere inviato mediate messaggio cifrato seguendo le indicazioni contenute nella mail inviata dal reparto tecnico1.

Attenzione

I radius server devono essere raggiungibili mediante indirizzamento pubblico. Nel caso in cui l'ente utilizzi meccanismi di NAT verificare che non vi sia asimmetria di traffico2.

Attenzione

Si presti attenzione alla configurazione di eventuali firewall.

I radius server devono poter comunicare con i server della federazione nazionale.

Nel caso di radius che fungono da Identity Provider, Γ¨ necessario che i server della federazione possano interrogare i radius server dell'ente sulle porte 1812/UDP (Authentication) e 1813/UDP (Accounting).

Nel caso di radius che fungono da Resource Provider, i radius server dell'ente devono poter interrogare i server della federazione sulle porte 1812/UDP (Authentication) e 1813/UDP (Accounting).

🌐 Comunicazione tramite FQDN (DNS)

Nel caso in cui si comunichi al GARR un nome DNS (FQDN) anzichΓ© un indirizzo IP per il proprio server RADIUS, Γ¨ necessario tenere presente quanto segue:

Un solo indirizzo IP per FQDN

Il nome DNS comunicato al GARR deve risolvere ad un solo indirizzo IP. Le sessioni di autenticazione EAP e i relativi tunnel cifrati devono essere gestiti interamente dallo stesso server. Se il DNS risolvesse a piΓΉ indirizzi IP (es. round-robin DNS), i pacchetti RADIUS di una stessa sessione verrebbero distribuiti su server diversi rendendo impossibile l'instaurazione del tunnel cifrato: una parte dei pacchetti arriverebbe su un server e il resto su un altro, al quale mancherebbe il contesto della sessione.

Risoluzione DNS solo allo startup

I server RADIUS del GARR effettuano la risoluzione DNS del nome comunicato esclusivamente allo startup o al riavvio del servizio. Eventuali modifiche alla risoluzione DNS (ad es. cambio di indirizzo IP) non verranno prese in considerazione fino al successivo riavvio dei server GARR. Se Γ¨ necessario modificare la risoluzione DNS del proprio FQDN, avvisare preventivamente il GARR.

No bilanciamento attivo-attivo

Per le stesse ragioni sopra esposte, non utilizzare meccanismi di bilanciamento del traffico (load balancer, reverse proxy con round-robin) che distribuiscano le richieste RADIUS su piΓΉ server attivi contemporaneamente. Se si desidera utilizzare un reverse proxy per resilienza, configurarlo in modalitΓ  attivo-passivo (failover): tutte le richieste devono essere inviate ad un unico server primario, con failover automatico verso un server secondario solo in caso di guasto del primo.

I server radius verranno inseriti nella federazione eduroam di test per le opportune verifiche tecniche.

  1. Una guida su come inviare mail cifrate Γ¨ disponibile all'indirizzo http://guide.debianizzati.org/index.php/Mail_criptate_e/o_firmate_con_standard_OpenPGP_usando_Icedove/Thunderbird_ed_Enigmail 

  2. Il radius server puΓ² essere interrogato dall'esterno tramite un IP pubblico ma la risposta risulta provenire da un IP pubblico diverso.