Натиснете тук за да посетите началната страница

Eduroam в Софийския Университет "Св. Климент Охридски"

[Начало]

Ръководство на администратора при анализ на проблеми с удостоверяването

 

Съдържание:

1. Типове RADIUS сървъри в инфраструктурата на Eduroam

2. Каква информация трябва да се изисква от потребителя при анализ на проблем

3. Как да локирате проблема използвайки журналните файлове на FreeRADIUS

3.1. Необходими журнални файлове, софтуер за анализа им и настройки на FreeRADIUS

3.2. Анализ на записите в журналните файлове на "home" RADIUS сървърите

3.3. Анализ на записите в журналните файлове на "proxy" RADIUS сървърите

Приложение 1. Инсталиране и използване на скрипта parser.py за извеждане на информация по удосотверяването на даден потребител

Приложение 2. Как да определим кои са "proxy" и "home" RADIUS сървърите на Eduroam в СУ за домейна на потребителя

 

1. Типове RADIUS сървъри в инфраструктурата на Eduroam

В инфраструктурата на Eduroam, по отношение на процеса на удостоверяване на потребителя, има следните два типа RADIUS сървъри:

Между клиентския WiFi софтуер и "home" RADIUS сървъра се изгражда TLS тунел, по който се пренася удостоверителната информация за идентифициране на потребителя (потребителското име и паролата). В тази схема "home" RADIUS сървъра е този, който извършва проверката дали потребителското име и парола криптирани в TLS тунела са коректни. Когато клиентският WiFi софтуер се свързва към точка за достъп до Eduroam, която не е директно свързана към "home" RADIUS сървъра, пакетите за изграждане и поддържане на TLS тунела се транспортират от междинните "proxy" RADIUS сървъри.

ВНИМАНИЕ! За един домейн даден RADIUS сървър може да е "home", а за друг - "proxy". Всичко зависи от конкретната настройка и местоположение на сървъра в инфраструктурата на Eduroam. Повече информация как да се определи ролята на даден FreeRADIUS сървър може да бъде намерена в Приложение 2, по-долу.

 

2. Каква информация трябва да се изисква от потребителя при анализ на проблем

Потребителят следва да предостави информацията описана в секцията "Как да получите помощ при проблем със свързването с мрежата "eduroam" на ръководството, което той е използвал, за да настрои профила за свързване към Eduroam.

 

3. Как да локирате проблема използвайки журналните файлове на FreeRADIUS

3.1. Необходими журнални файлове, софтуер за анализа им и настройки на FreeRADIUS

Журналните файлове (текущия и архивираните от logrotate в Gzip формат) се намират в директория /var/log/radius/. По-долу е даден примерно съдържание на директорията /var/log/radius/ (възможно е там да има и други файлове, но тези в примера са тези дискутираните по-долу в това ръководство):

-rw-r-----.  1 radiusd radiusd  50387  Sep  3 03:00 radius.log
-rw-r-----.  1 radiusd radiusd  199536 Jun  1 03:57 radius.log-20180601.gz
-rw-r-----.  1 radiusd radiusd  374110 Jul  1 04:09 radius.log-20180701.gz
-rw-r-----.  1 radiusd radiusd  434969 Aug  1 04:26 radius.log-20180801.gz
-rw-r-----.  1 radiusd radiusd  893516 Sep  1 03:17 radius.log-20180901.gz

За анализирането на тези файлове е необходим скрипта parse.py. Ако той не е наличен в системата, инсталирайте го следвайки инструкциите в Приложение 1.

Бъдете сигурни, че в настройките на FreeRADIUS е указано описването в /var/log/radius/radius.log. Във файла /etc/raddb/radiusd.conf стойността на auth в секцията log трябва да бъде установена на yes:

log {
       ...
       auth = yes
       ...
    }

ВНИМАНИЕ!!! Ако стойността на auth е била yes по време на възникване на проблема докладван от потребителя, най-вроятно в /var/log/radius/radius.log няма да има достатъчно количество информация за извършване на анализите.

3.2. Анализ на записите в журналните файлове на "home" RADIUS сървърите

В Приложение 2 е описано как да се определи, че даден FreeRADIUS сървър е с роля "home".

3.3. Анализ на записите в журналните файлове на "proxy" RADIUS сървърите

В тези журнални файлове не се пази информация относно процеса на удостоверяването на потребителя, а САМО СУМАРИЗАЦИЯ НА СТАТУСА на удостоверяването. И причината е, че "proxy" RADIUS сървърът само участва (най-често с помощта на други "proxy" RADIUS сървъри) в транзитирането на тунела, който пренася в крипиран вид криптираната потребителска информация.

 

Приложение 1. Инсталиране и използване на скрипта parser.py за извеждане на информация по удосотверяването на даден потребител

 

Приложение 2. Как да определим кои са "proxy" и "home" RADIUS сървърите на Eduroam в СУ за домейна на потребителя

ВНИМАНИЕ! Когато в текста по-долу става дума за "home" и "proxy" RADIUS сървъри в мрежата на СУ, то това са сървъри свързани с процеса на удостоверяването на потребители от домейните на Софийския Университет достъпни в Eduroam.

Определянето на това кои RADIUS сървър са "proxy" и кои "home" става чрез проследяване на описанията в конфигурационните им файлове, ако няма предварително направена схема, която да показва това. Ако потребителят използва точка за достъп до Eduroam извън мрежата на Софийския Университет или такава, която е в капус "Ректорат" на СУ, проследяването трябва да започне от конфигурацията на RADIUS сървъра работещ на radius-rec.uni-sofia.bg. В случай, че потребителят използва точка за достъп в кампус "Лозенец", то проследяването може да започне от конфигурацията на RADIUS сървъра върху service-loz.uni-sofia.bg. Ако върху него не бъдат намерени нужните записи, проследяването следва да започне от radius-rec.uni-sofia.bg.

Отворете файла /etc/raddb/proxy.conf на съответния RADIUS сървър и потърсете в него записи за домейна на потребителя. Ако тези записи сочат към друг RADIUS сървър в мрежата на СУ (това посочване става чрез атрибутите authhost и accthost сочещи към IP адрес или име на хост), то в този случай проверявания RADIS сървър е "proxy" за домейна на потребителя. Например, следните записи:

realm "phys.uni-sofia.bg" {
   authhost = 62.44.98.1:1812
   accthost = 62.44.98.1:1813
   secret = c165c711699755b27687f9fea553f58e6d4158fe89199de3014db5b2303781a2
   nostrip
}
в /etc/raddb/proxy.conf на radius-rec.uni-sofia.bg показват, че следващия RADIUS сървър участващ в удостоверяването на потребителите за домейна phys.uni-sofia.bg е с IP адрес 62.44.98.1. Следователно, проследяването трябва да продължи на 62.44.98.1. Ако в /etc/raddb/proxy.conf на 62.44.98.1 има следните записи:
realm "phys.uni-sofia.bg" {
   type = radius
   authhost = LOCAL
   accthost = LOCAL
}
то 62.44.98.1 е "home" RADIUS сървъра за домейна phys.uni-sofia.bg, защото стойностите на authhost и accthost са LOCAL, а не IP адрес или име на хост. Стойността LOCAL означвава, че процесът на удостоверяване излиза извън протокола за комуникация между RADIUS сървърите и продължава локално или не с използване на други протоколи, например PAM, LDAP, IMAP, AD и т.н. За да може да се случи това локално удостоверяване, "home" RADIUS сървъра трябва да в единия край на TLS тунела (потребителят е от другата му страна), за може да научи през тунела потребителското име и парола, чрез които да продължи удостоверяването спрямо другите протоколи (PAM, LDAP, IMAP, AD и т.н).

 


Последна актуализация: 10 септември 2018

2018 УЦИКТ, Софийски Университет