Eduroam:Aansluiten: verschil tussen versies

Uit Kennisnet Developers Documentatie
Naar navigatie springen Naar zoeken springen
 
(3 tussenliggende versies door dezelfde gebruiker niet weergegeven)
Regel 11: Regel 11:
 
* radius1.eduroam.kennisnet.nl
 
* radius1.eduroam.kennisnet.nl
 
* radius2.eduroam.kennisnet.nl
 
* radius2.eduroam.kennisnet.nl
  +
  +
De RADIUS server van Kennisnet kan overweg met een IP-adres of hostname, een domein waar meer IPs achter zitten, CNAME,s etc werkt niet.
   
 
===Shared secret===
 
===Shared secret===
 
De shared secret, die nodig is voor de communicatie tussen de RADIUS servers, sturen we via een beveiligde manier zodra deze nodig is.
 
De shared secret, die nodig is voor de communicatie tussen de RADIUS servers, sturen we via een beveiligde manier zodra deze nodig is.
   
===NAPTR DNS record===
+
===DNS record===
* Toevoegen van een DNS record aan het domein dat wordt gebruikt voor de realm in eduroam (bijv instelling.nl). Het gaat om het type NAPTR record. Dit record is nodig om elke Service Provider (SP) ter wereld dynamisch de proxy te laten vinden waaraan de Identity Provider (IdP), of wel instelling, gekoppeld is. Zonder dit record kunnen gebruikers niet buiten de eigen instelling authenticeren.
+
Toevoegen van een DNS record aan het domein dat wordt gebruikt voor de realm in eduroam (bijv instelling.nl). Het gaat om het type NAPTR record. Dit record is nodig om elke Service Provider (SP) ter wereld dynamisch de proxy te laten vinden waaraan de Identity Provider (IdP), of wel instelling, gekoppeld is. Zonder dit record kunnen gebruikers niet buiten de eigen instelling authenticeren.
   
 
LET OP: als er vanuit de instelling meerdere realms gebruikt worden, dan dient voor elke realm een NAPTR record aangemaakt te worden.
 
LET OP: als er vanuit de instelling meerdere realms gebruikt worden, dan dient voor elke realm een NAPTR record aangemaakt te worden.
Regel 27: Regel 29:
 
In BIND ziet dat er bijvoorbeeld uit: instelling.nl. 3600 IN NAPTR 50 50 "s" "x-eduroam:radius.tls" "" _radsec._tcp.kennisnet.eduroam.nl. ;
 
In BIND ziet dat er bijvoorbeeld uit: instelling.nl. 3600 IN NAPTR 50 50 "s" "x-eduroam:radius.tls" "" _radsec._tcp.kennisnet.eduroam.nl. ;
   
===NAPTR record controleren===
+
'''NAPTR record controleren'''
  +
 
Nadat het record live is gezet, zal het er als volgt uit zien met een nslookup
 
Nadat het record live is gezet, zal het er als volgt uit zien met een nslookup
 
instelling.nl naptr = 50 50 "s" "x-eduroam:radius.tls" "" _radsec._tcp.kennisnet.eduroam.nl.
 
instelling.nl naptr = 50 50 "s" "x-eduroam:radius.tls" "" _radsec._tcp.kennisnet.eduroam.nl.

Huidige versie van 16 nov 2021 om 10:23

Aansluiten op eduroam

Hieronder de technische informatie die van belang is voor het realiseren van een koppeling met eduroam via Kennisnet.

Voor het koppelen met eduroam hebben we de volgende gegevens van de aansluitende instelling nodig:

  • Te gebruiken realm(s) (bijv. gebruiker01@instelling.nl) (vervang instelling.nl met het eigen instellingsdomein (moet een publiek .nl domein zijn)
  • Te gebruiken RADIUS software (heeft te maken met het wel of niet aanzetten van bepaalde configuratie aan onze kant)
  • Het adres van de RADIUS server, hostname of ip-adressen

Radius Kennisnet

De gegevens van de RADIUS servers van Kennisnet zijn:

  • radius1.eduroam.kennisnet.nl
  • radius2.eduroam.kennisnet.nl

De RADIUS server van Kennisnet kan overweg met een IP-adres of hostname, een domein waar meer IPs achter zitten, CNAME,s etc werkt niet.

Shared secret

De shared secret, die nodig is voor de communicatie tussen de RADIUS servers, sturen we via een beveiligde manier zodra deze nodig is.

DNS record

Toevoegen van een DNS record aan het domein dat wordt gebruikt voor de realm in eduroam (bijv instelling.nl). Het gaat om het type NAPTR record. Dit record is nodig om elke Service Provider (SP) ter wereld dynamisch de proxy te laten vinden waaraan de Identity Provider (IdP), of wel instelling, gekoppeld is. Zonder dit record kunnen gebruikers niet buiten de eigen instelling authenticeren.

LET OP: als er vanuit de instelling meerdere realms gebruikt worden, dan dient voor elke realm een NAPTR record aangemaakt te worden.

Er dient een record aan de DNS server te worden toegevoegd met de volgende gegevens:

  • name instelling.nl
  • type NAPTR
  • value 50 50 "s" "x-eduroam:radius.tls" "" _radsec._tcp.kennisnet.eduroam.nl.

In BIND ziet dat er bijvoorbeeld uit: instelling.nl. 3600 IN NAPTR 50 50 "s" "x-eduroam:radius.tls" "" _radsec._tcp.kennisnet.eduroam.nl. ;

NAPTR record controleren

Nadat het record live is gezet, zal het er als volgt uit zien met een nslookup instelling.nl naptr = 50 50 "s" "x-eduroam:radius.tls" "" _radsec._tcp.kennisnet.eduroam.nl.

Firewall

Vervolgens dient in de firewall open gezet te worden dat de instellings RADIUS server(s) met de RADUIS proxies van Kennisnet mag communiceren. Hiervoor moet verkeer toegestaan worden op UDP 1812 van en naar de servers van Kennisnet.