Eduroam:Aansluiten: verschil tussen versies
(Nieuwe pagina aangemaakt met 'Hierbij de technische informatie die van belang is voor het realiseren van een koppeling met eduroam. Voor het koppelen met eduroam hebben we de volgende gegevens...') |
|||
Regel 1: | Regel 1: | ||
− | + | Hieronder staat de technische informatie die van belang is voor het realiseren van een koppeling met eduroam via Kennisnet. |
|
Voor het koppelen met eduroam hebben we de volgende gegevens van de aansluitende instelling nodig: |
Voor het koppelen met eduroam hebben we de volgende gegevens van de aansluitende instelling nodig: |
||
Regel 8: | Regel 8: | ||
===Radius Kennisnet=== |
===Radius Kennisnet=== |
||
De gegevens van de RADIUS servers van Kennisnet zijn: |
De gegevens van de RADIUS servers van Kennisnet zijn: |
||
− | + | * radius1.eduroam.kennisnet.nl |
|
− | + | * radius2.eduroam.kennisnet.nl |
|
====Shared secret==== |
====Shared secret==== |
||
Regel 15: | Regel 15: | ||
===Acties aan de kant van de instelling=== |
===Acties aan de kant van de instelling=== |
||
− | *Toevoegen van een DNS record aan het domein dat wordt gebruikt voor de realm in eduroam, (bijv instelling.nl). Het gaat om het zogenaamde type NAPTR record. Dit record is nodig om elke Service Provider (SP) ter wereld dynamisch de proxy te laten vinden waaraan de Identity Provider (IdP), of wel instelling, gekoppeld is. Zonder dit record kunnen gebruikers behorende bij de instelling niet buiten de eigen instelling authenticeren. |
+ | * Toevoegen van een DNS record aan het domein dat wordt gebruikt voor de realm in eduroam, (bijv instelling.nl). Het gaat om het zogenaamde type NAPTR record. Dit record is nodig om elke Service Provider (SP) ter wereld dynamisch de proxy te laten vinden waaraan de Identity Provider (IdP), of wel instelling, gekoppeld is. Zonder dit record kunnen gebruikers behorende bij de instelling niet buiten de eigen instelling authenticeren. |
LET OP: als er vanuit de instelling meerdere realms gebruikt worden dan dient voor elke realm een NAPTR record aangemaakt te worden. |
LET OP: als er vanuit de instelling meerdere realms gebruikt worden dan dient voor elke realm een NAPTR record aangemaakt te worden. |
Versie van 29 okt 2019 13:48
Hieronder staat de technische informatie die van belang is voor het realiseren van een koppeling met eduroam via Kennisnet.
Voor het koppelen met eduroam hebben we de volgende gegevens van de aansluitende instelling nodig:
- Te gebruiken realm(s) (bijv. gebruiker01@instelling.nl) (vervang instelling.nl met het eigen instellingsdomein (moet een publiek .nl domein zijn)
- Te gebruiken RADIUS software (heeft te maken met het wel of niet aanzetten van bepaalde configuratie aan onze kant)
- Het adres van de RADIUS server, hostname of ip-adressen
Radius Kennisnet
De gegevens van de RADIUS servers van Kennisnet zijn:
- radius1.eduroam.kennisnet.nl
- radius2.eduroam.kennisnet.nl
De shared secret, die nodig is voor de communicatie tussen de RADIUS servers sturen we via een beveiligde manier zodra deze nodig is.
Acties aan de kant van de instelling
- Toevoegen van een DNS record aan het domein dat wordt gebruikt voor de realm in eduroam, (bijv instelling.nl). Het gaat om het zogenaamde type NAPTR record. Dit record is nodig om elke Service Provider (SP) ter wereld dynamisch de proxy te laten vinden waaraan de Identity Provider (IdP), of wel instelling, gekoppeld is. Zonder dit record kunnen gebruikers behorende bij de instelling niet buiten de eigen instelling authenticeren.
LET OP: als er vanuit de instelling meerdere realms gebruikt worden dan dient voor elke realm een NAPTR record aangemaakt te worden.
Er dient een record aan de DNS server te worden toegevoegd met als name instelling.nl. met als type NAPTR en als value 50 50 "s" "x-eduroam:radius.tls" "" _radsec._tcp.kennisnet.eduroam.nl. In BIND ziet dat er bijvoorbeeld uit: instelling.nl. 3600 IN NAPTR 50 50 "s" "x-eduroam:radius.tls" "" _radsec._tcp.kennisnet.eduroam.nl. ; Het zal er als volgt uit zien met een nslookup nadat het record live is gezet: instelling.nl naptr = 50 50 "s" "x-eduroam:radius.tls" "" _radsec._tcp.kennisnet.eduroam.nl. Hierbij dient ‘instelling.nl’ te worden vervangen door het domein welke de instelling wenst te gebruiken voor de realm bij het authenticeren.
- Vervolgens dient in de firewall open gezet te worden dat de instellings RADIUS server(s) met de RADUIS proxies van Kennisnet mag communiceren. Hiervoor moet verkeer toegestaan worden op UDP 1812 van en naar de servers van Kennisnet.