eduroam 配置建议(上海交通大学 赖学亮)

上海交通大学赖学亮老师的《eduroam配置建议》


各位老师好,关于eduroam的配置,我有几个建议,希望能在各校及中继eduroam radius proxy上实施。

以下建议按照 freeradius v2 版本
 ---------分隔线---------
 1. 配置好Operator-Name属性
 在分析日志时,缺少该Radius字段,则难以判断认证请求的发起单位、院校,难以对校内账号的外部使用情况做较好的了解。
 请查看参考链接,我校的配置与推荐的稍有不同,是在
 /etc/raddb/sites-enabled/default 文件
 pre-proxy 段落里,增加了
 update proxy-request {
  Operator-Name := "1sjtu.edu.cn"
 }
 字符“1”的作用在参考链接里有提
 配好后,由本地radius转发的请求将带有本地运营商的标记。
 wireshark软件可能需要注释掉有冲突的字典属性后才能正常解析该字典,
 我碰到的是 dictionary.usr 文件
 ---------分隔线---------
 2. 打开详细radius日志
 参考参考链接,里面 xxxx_log 的属性,打开后就可以在
 /var/log/radius/radacct/
 
 下找到各个过程的详细日志
 
 ---------分隔线---------
 3. 修改默认属性代理过滤器
 详细在参考网页中
 建议可以比参考网页多放行
 NAS-Port-Type =* ANY  用作 Windows Radius 服务器的条件识别
 避免对方院校由于radius匹配分歧而认证失败,
 本地如果有需要,也可以将外部院校送来的认证请求包转送给windows radius前都打上标记
 /etc/raddb/sites-enabled/default 文件
 pre-proxy 段落里,增加
 update proxy-request {
  NAS-Port-Type := 19   # Wireless-802.11
 }
 ---------分隔线---------
 4. 在日志中解析中间代理radius的信息
 新建/etc/raddb/dictionary.eduroam.local 文件
 文件内容开始
 VENDOR  eduroam 9048
 BEGIN-VENDOR    eduroam
 ATTRIBUTE       Eduroam-Proxy                           0       String
 END-VENDOR eduroam
 文件内容结束
 并在/etc/raddb/dictionary文件里增加一行
 $INCLUDE        /etc/raddb/dictionary.eduroam.local
 配置好后,就可以在如 /var/log/radius/radacct/162.105.129.2/auth-detail-20160429 里看到日志
        Eduroam-Proxy = "Proxied-By=TLRS1.eduroam.us"
        Eduroam-Proxy = "Proxied-By=etlr1.eduroam.org-1461825003"
        Eduroam-Proxy = "Proxied-By=radium.surfnet.nl-1461825003"
 ---------分隔线---------
 5. 建议eduroam 上游节点配置代理信息
 按照4配置好后,再配置
 /etc/raddb/sites-enabled/default 文件
 pre-proxy 段落里,增加
 update proxy-request {
  Eduroam-Proxy += "Proxied-By=ilr1.edu.cn" # pku.eduroam.cn或者eduroam.pku.edu.cn 名字如何 ?
 }
 这样有利于分析代理中继情况
 ---------分隔线---------
 
 以上是我校在配置eduroam时遇到问题的一些经验,不足之处还请各位见谅。
 
 祝五一节日快乐
 
 参考网页 https://wiki.geant.org/display/H2eduroam/freeradius-sp
 
 上海交通大学 网络信息中心 赖学亮
 
 20160429