Ansible role pro instalaci FreeRADIUSu v roli IdP & SP, SP only anebo proxy pro eduroam.cz. Předpokladem úspěšného použítí je solidní znalost administrace Linuxu a alespoň základní znalost automatizované správy pomocí ansible.com.

Role podporuje RadSec, Operator-Name, Chargeable-User-Identity, vynucení shody vnitřní a vnější identity. Dále umožní neEAP ověření pouze lokálním realmům (pro captive portály, pokud je fakt musíte používat).

Předpokládám, že si roli ansible-freeradius vložíte do vlastního projektu. Pro jednoúčelové otestování stačí postupovat podle následujícího návodu. Vytvořte si libovolný adresář a proveďte:

git clone https://github.com/CESNET/ansible-freeradius.git roles/freeradius
mkdir -p host_vars group_vars files/certs
cp roles/freeradius/examples/playbook-freeradius.yml .
cp roles/freeradius/examples/inventory.conf .
cp roles/freeradius/examples/ansible.cfg .
cp roles/freeradius/examples/chain_TERENA_SSL_CA_3.pem files/certs/
cp roles/freeradius/examples/chain_CESNET_CA4.pem files/certs/

Musíte upravit soubor inventory.conf, aby se odkazoval na váš server. Musíte vyvořit soubor host_vars/vas-radius.realm.cz.yml, jako vzor použijte soboury vysvětlivky k obsahu:

• semik-dev.cesnet.cz-IdPSP-PKCS12.yml pro IdP & SP s certifikátem ve formátu PKCS#12
• semik-dev.cesnet.cz-IdPSP.yml pro IdP & SP s certifikátem v běžnějším PEM formátu, uživateli v LDAPu s eduroam heslem jiným od hlavního hesla v LDAPu
• semik-dev.cesnet.cz-IdPSP-msAD.yml pro IdP & SP s certifikátem v běžnějším PEM formátu, uživateli v MS AD a ověřováním pomocí NTLMv1, přidání do domény musí být provedeno manuálně to ansible nedělá, viz návod.
• semik-dev.cesnet.cz-SP.yml pro SP only instalaci
• semik-dev.cesnet.cz-proxy.yml proxy rezim kdy je domaci realm predavany na jiny RADIUS server

Důvěrné informace o konfiguraci serveru jsou šifrovány ve vaultu, např.:

ldap:
  eduroam:
    bindPass: "{{ semik_dev_cesnet_cz.ldap_passwd }}"

Vytvořte si group_vars/idp_vault.yml s následujícím obsahem, jen změňte první řádek na svůj hostname (tečky a případné pomlčky musíte nahradit podtržítky, tzn. semik-dev.cesnet.cz bude semik_dev_cesnet_cz):

semik_dev_cesnet_cz:
  ermon_secret: sdílené heslo k ermon.cesnet.cz
  ldap_passwd: heslo k LDAP uctu
  radsec_key_password: heslo k privatnimu klici pro radsec
  eap_key_password: heslo k privatnimu klici pro eap

Konfigurační informace jsou rozděleny do dvou souborů, aby bylo možné oddělit důvěrné informace, které stojí za šifrování pomocí ansible-vault, a ty celkem veřejné. Navíc předpokládám, že v šifrovaném souboru group_vars/idp_vault.yml jsou sdíleny důvěrné informace dalších serverů a případně jiných rolí.

V případě použití PKCS#12 formátu role předpokládá, že RADIUS server používá pro spojení s národním RADIUS serverem ten samý certifikát jako pro (volitelnou) roli IdP. Tento požadavek vychází ze sdílení části kódu s playbookem pro Shibboleth IdP (eduID.cz), kde je to vhodné a navíc takto šifrovaný certifikát lze uložit do veřejného GITu bez obavy ze zneužití. Soubor musí být umístěn v files/semik-dev.cesnet.cz.p12, resp. adekvátně pojmenovaném souboru.

FreeRADIUS používá PEM formát pro certifikáty, v takovém případě je očekává v files/certs/hostname.{crt,key}, lze použít různé certifikáty pro RadSec a EAP, což bude asi častý případ.

Role dále pracuje s certifikáty pro ověření důvěry LDAP serveru. Ty jsou odkazovány v host_vars/semik-dev.cesnet.cz.yml v proměné ldap.CAChain.

Pracuje také s certifikám pro ověření nadřazeného RADIUS serveru. Ten je odkazován v eduroam.topRADIUS.CAChain. Role počítá s tím, že nadřazeným RADIUSem není radius1.eduroam.cz, ale obecný nadřazený RADIUS.

export ANSIBLE_INVENTORY=./inventory.conf
ansible-playbook playbook-freeradius.yml