V aktuální situaci existují a souběžně běží dvě generace národního RADIUSu. Zjednodušeně ji budeme označovat jako stará generace (radius1.eduroam.cz) a nová generace (flr[1-3].eduroam.cz).

Obě generace národních RADIUSů jsou propojené a požadavky si mezi sebou předávají, např. pokud jeden realm je zapojený do staré a druhý realm do nové. Zároveň lze provozovat situaci pokud má realm více RADIUSů a každý z nich komunikuje s jinou generací národního RADIUSu.

Toto je označení nástupní (nové) generace národního RADIUSu, která je složena ze tří RADIUS serverů, které jsou všechny tři na stejné úrovni. Jsou dostupné na následujících anycastových adresách:

Na všech třech je použitá CA eduPKI CA.

Novou generaci monitoruje i nový monitoring, který je dostupný na těchto adresách:

Dokumentace monitoringu je dostupná zde.

Jde o stávající, předchozí (starou) generaci národního RADIUSu, který se na venek prezentuje jako jedno jméno/adresa:

• radius1.eduroam.cz
  • IPv4: 195.113.187.22

Starou generaci má na starosti monitorovat ermon:

• ermon.cesnet.cz
  • IPv4: 195.113.233.246
  • IPv6: 2001:718:1:e::233:246

Dokumentace monitoringu je dostupná zde.

Je třeba aby:

• vysílala essid „eduroam“ - vše malými písmeny
• ověřovala uživatele protokolem IEEE 802.1X
• používala šifrování WPA2+AES a případně lepší

Je třeba aby:

• odpovídal na ICMP echo request z monitoring.eduroam.cz. (monitoring)
• měl otevřený port UDP/1812 z monitoring.eduroam.cz. (monitoring)

Lze použít NAT, pokud je zajištěn překlad potřebných portů.

FW dále musí mít:

• otevřený port TCP/2083 z národních RADIUSů (flr[1-3].eduroam.cz). (RadSec)
  

Sdílené tajemství RADIUS protokolu je radsec.

Lze provozovat na veřejných IPv4/IPv6 adresách nebo alternativně na privátních pomocí NAT Traversal.

FW dále musí mít:

• otevřenou komunikaci pro ICMP echo request z národních RADIUSů (flr[1-3].eduroam.cz).
• otevřený port UDP/500 z národních RADIUSů (flr[1-3].eduroam.cz). (IPsec)
  
• otevřenou komunikaci pro ESP protokol nebo otevřený port UDP/4500 při použití NAT Traversal. (IPsec)

Sdílené tajemství RADIUS protokolu je ipsec.

RFC 2865 - podpora základního RADIUS protokolu

RFC 3580 - podpora protokolu EAP, ověřování uživatelů pomocí IEEE 802.1X. Bez této podpory není RADIUS použitelný k ověřování uživatelů.

proxy podle realmu v User-Name - uživatelé v eduroamu používají uživatelská jména ve tvaru uid@realm.cz. RADIUS server musí být schopen předávat (proxy(ovat)) požadavky které obsahují jiný realm než jeho vlastní na nadřazený server.

filtrování atributů - některé připojené organizace posílají s odpovědí AV páry určující, do jaké VLAN má být uživatel umístěn. Musíte zajistit odstranění těchto AV párů, aby nedošlo k průnikům hostů do těch oblastí Vaší sítě, kam je nechcete pustit. Jedná se především o: Tunnel-Private-Group-ID, Tunnel-Type a Tunnel-Medium-Type. Odpověď obsahující AV pár Tunnel-Private-Group-ID = 1:666 identifkuje testovací účet. Měli byste zajistit, aby takto označené účty nemohly ve Vaší síti získat přístup ke konektivitě. U eduroam je jedna z možností tuto VLAN definovat jako „slepou“.

RFC 6614; RadSec - transport RADIUS protokolu přes TLS spojení

RFC 5997; Server-Status - Schopnost RADIUS serveru hlasit svuj stav a testovat stav partneru pomoci kodu 12 RADIUS protokolu. eduroamu se vyuziva pro lepsi detekci nefunkcnich serveru.

Operator-Name - V Access-Request je v tomto atributu přenášena identifikace navštíveného SP, pokud to RADIUS server neumí, tak tuto informaci doplňuje národní RADIUS. Servery které Operator-Name nepodporují, nesmí být použity pro obsluhu více organizací.

Chargeable-User-Identity - Identifikátr uživatele unikátní pro každé SP. Identifikátor který uživatel nedovede ovlivnit, narozdíl od MAC adresy anebo použitím vnější anonymní identity.

¹ Neumí generovat dynamicky na základě Operator-Name, viz detaily.