Připojení k eduroam.cz: Nastavení síťových komponent Meraki a konfigurace ISE

Podobné dokumenty
VComNet uživatelská příručka. VComNet. Uživatelská příručka Úvod. Vlastnosti aplikace. Blokové schéma. «library» MetelCom LAN

Konfigurace sítě s WLAN controllerem

Nastavení DCOM. Uživatelský manuál

108Mbps Wlireless 11G+ PCI-Card. Instalační manuál P/N:

1. Obecná konfigurace autentizace osob. 2. Konfigurace klienta Windows Vista

Mobilita a roaming Možnosti připojení

User based tunneling (UBT) a downloadable role

Bezdrátové routery LTE & UMTS datové a hlasové brány

Stručný návod k obsluze Instalace ovladače WLAN USB adaptéru GW- 7200U pro Windows 98SE, ME, 2000 a XP

Informace o zaměstnancích v insolvenčním řízení v aplikaci KS mzdy

Instalační a uživatelská příručka

Autentizace uživatele připojeného přes 802.1X k přepínači Cisco Catalyst 2900/3550 pomocí služby RADIUS

DWL-G122 AirPlus G TM Vysokorychlostní g USB bezdrátový adaptér

Bezpečnost sítí

Přihlášení do bezdrátové sítě Eduroam Univerzity Pardubice - Microsoft Windows 8

Uživatelský modul. WiFi STA

Bezdrátové sítě Wi-Fi Původním cíl: Dnes

Přihlášení do bezdrátové sítě Eduroam Univerzity Pardubice - Microsoft Windows XP

Aplikace a služba Money Dnes Publisher v deseti krocích

Návod na nastavení klienta pro připojení k WiFi síti SPŠE Brno

PŘÍRUČKA SÍŤOVÝCH APLIKACÍ

Dodávka UTM zařízení FIREWALL zadávací dokumentace

2015 GEOVAP, spol. s r. o. Všechna práva vyhrazena.

AleFIT MAB Keeper & Office Locator

Instalace. Bezdrátový přístupový bod NETGEAR ac WAC120. Obsah balení. NETGEAR, Inc. 350 East Plumeria Drive San Jose, CA USA.

BRICSCAD V15. Licencování

Uživatelský modul. WiFi SSID Switch

54Mbps bezdrátový router WRT-415. Návod pro rychlou instalaci

Nastavení MS Windows XP pro připojení k eduroam

eduroam.cz - monitoring infrastruktury a detekce problémů

Síťová ochrana SCIA aplikací systémem FlexLM

Upgrade klientů Notes na V10

Ladění ovladačů pomocí virtuálního stroje...2 Úvod...2 Ladění ovladačů pomocí dvou fyzických počítačů...2 Ladění ovladačů pomocí jednoho fyzického

VPN tunel mezi zařízením ZyXEL ZyWALL a IPSec VPN klientem ZyXEL

Nastavení MS Windows XP (SP2) pro připojení k eduroam na UTIA AVCR

NASTAVENÍ WDS REŽIMU NA ROUTERECH TENDA S BROADCOM CHIPSETEM

WAP-5883 Rychlá Instalační Příručka

NAS 323 NAS jako VPN Server

Model: Mbps Wireless 11G+ Access Point UŽIVATELSKÝ MANUÁL

Návod na nastavení sítě Eduroam v prostorách 3.LF

Informační manuál PŘIPOJENÍ K WIFI ČZU (zaměstnanci)

IP kamera NCC800 NCC800WL. Instalační průvodce

SPARKLAN WX-7800A - návod k obsluze Verze 1.2

Návod pro připojení k síti VŠPJ prostřednictvím VPN Vysoká škola polytechnická Jihlava

Napájecí zdroj JSD. Dohledový IP modul. Verze dokumentu: 1.0 Datum vydání: Poslední úprava:

Vzdálené připojení do sítě ČEZ VPN Cisco AnyConnect

INSTALACE DATABÁZE ORACLE A SYSTÉMU ABRA NA OS WINDOWS

Vzdálené připojení do sítě ČEZ VPN Cisco AnyConnect

Stručný návod k obsluze Nainstalujte ovladač GW-7100PCI pro Windows 98, ME, 2000 and XP

Instalace Microsoft SQL serveru 2012 Express

B Series Waterproof Model. IP Kamera. Uživatelský manuál

APS Administrator.OP

OPC server pro RWP80. MC Control s.r.o. 20. února 2007

Uživatelský modul. Modem Bonding

IP kamera. Uživatelský manuál

Extrémně silné zabezpečení mobilního přístupu do sítě.

Jednotný identitní prostor Provozní dokumentace

PROGRAMOVATELNÉ AUTOMATY FATEK

VoIP telefon Gigaset A580IP

WABOX 203 Příručka pro rychlou instalaci

Informační systém pro e-learning manuál

1. Administrace služby Bezpečný Internet přes webovou aplikaci WebCare GTS

DŮLEŽITÉ INFORMACE, PROSÍM ČTĚTE!

Bezpečná autentizace přístupu do firemní sítě

Administrace služby - GTS Network Storage


Provozní dokumentace. Seznam orgánů veřejné moci. Příručka pro běžného uživatele

Centrální správa PC na MU. Pavel Tuček

Návod k obsluze. Příprava. Příručka pro rychlou instalaci přístupového bodu WLAN

Návod pro Windows 7. Automatická konfigurace Windows 7 a Vista umožňují použít konfiguraci WiFi připojení pomocí programu eduroamcuni.exe.

NÁCHOD JIHOČESKÝ KRAJ ING. PETR VOBEJDA

Nová áplikáce etesty Př í přává PC ž ádátele

Aruba ClearPass bezpečné řízení přístupu do sítě a integrační možnosti. Daniel Fertšák Aruba Systems Engineer

Program slouží k provozní evidenci chemických látek, směsí, archivaci bezpečnostních listů a tvorbě rychlých přehledů.

STRUČNÝ NÁVOD K POUŽITÍ

Uživatelská příručka AE6000. Dvoupásmový bezdrátový adaptér Mini USB AC580

EW-7416APn V2 & EW-7415PDn Průvodce instalací pro Macintosh

Instalace MS SQL Server Express a MS SQL Server Management Express

Návod pro Windows 7.

A-LINK IPC2. Pan-Tilt MPEG4/MJPEG Síťová Kamera. Průvodce rychlým nastavením

Vzdálené připojení do sítě ČEZ VPN Cisco AnyConnect

Návod na nastavení bezdrátového routeru Asus WL-520g Deluxe v režimu klient

Nastavení MS Windows XP pro připojení k eduroam

ZAŘÍZENÍ PRO VZDÁLENÝ SBĚR A PŘENOS DAT FIRMWARE

STRUč Ná Př íruč KA pro Windows Vista

Vzdálené ovládání dotykového displeje IDEC HG3G pomocí routeru VIPA TM-C VPN

2N NetSpeaker. Obsah. IP Audio Systém. Uživatelské manuály 1.5

FIO API PLUS. Verze 1.1.1

NÁVOD K OBSLUZE ARC Wireless: SplitStation5 (+ iflex2 - vnitřní AP 2,4 GHz vč. 3 dbi antény)

CC&C WA-2204C. Návod k obsluze

Požadavky pro konfiguraci internetového připojení

1 Správce licencí Správce licencí Správce licencí Start > Všechny programy > IDEA StatiCa > Správce licencí Soubor > Správce licencí Licence

Helios IP Dokumentace

Provozní dokumentace. Seznam orgánů veřejné moci. Příručka pro běžného uživatele

Provozní dokumentace. Seznam orgánů veřejné moci. Příručka pro běžného uživatele

ADW-4401B. Bezdrátový Ethernet/ADSL router. Uživatelský manuál

Použití bankovních terminálů s programem TRIFID

Stručný návod k obsluze Instalace ovladače GW-7100U pod Windows 98, ME, 2000 a XP Instalace obslužného programu pod Windows 98, ME, 2000 and XP

Nasazení nových modulů McAfee Seminář CIV (nejen) pro lokální správce

Transkript:

Připojení k eduroam.cz: Nastavení síťových komponent Meraki a konfigurace ISE Podrobní postup připojení organizace k eduroamu v ČR je detailně popsán na stránkach eduroam.cz (https://www.eduroam.cz/cs/spravce/pripojovani/uvod ) Nezbytnou součástí připojení k českému eduroam systému jsou RadSec/IPsec server a RADIUS server. Jak postupovat při konfiguraci RadSec / IPsec - https://www.eduroam.cz/cs/spravce/pripojovani/ipsec/uvod Obrázek č.1 Schématické zobrazení komponent

Nastavení Meraki AP pro autentizaci s ISE Správné nastavení přístupového bodu Meraki MR pro šifrovanou komunikace s ISE (eduroam). Wireless Configuration overview SSIDs (eduroam) à edit settings

Nastavení SSID přístupového bodu Meraki MR pro přímou komunikaci s ISE přes RADIUS, v sekci Access control vybereme dané SSID (eduroam) a v sekci Network access požadavku na WPA2- Enterprise with my RADIUS server. Nastavení/přidání RADIUS servru IP adresa ISE (Host IP = dle určení v aktuální síti, Port = 1812, Secret = unikátní string řetězec, stejný jako na straně ISE)

Nastavení oveření přístupu do sítě na přepínači Meraki MS pro přímou komunikaci s ISE 802.1x řešením přes RADIUS, v sekci Switch à Configure à Access policies přidáním nové Access policy (eduroam). Nastavení/přidání RADIUS servru IP adresa ISE (Host IP = dle určení v aktuální síti, Port = 1812, Secret = unikátní řetězec znaků, stejný jako na ISE)

Instalace ISE serveru ISE lze provozovat jako appliance nebo jako virtuální stroj. V našem případě předpokládáme nasazení v prostředí VMware. Požadavky na server, detailní popis instalace je uveden v kapitole 3 Install ISE on a VMware Virtual Machine v instalačním manuálu na tomto odkazu: http://www.cisco.com/c/en/us/td/docs/security/ise/2-1/install_guide/b_ise_installationguide21.pdf Instalace je ukončena wizardem z příkazové řádky, který provede základní síťové nastavení ISE. Od tohoto okamžiku je již veškerá správa ISE vedena ve webovém rozhraní GUI. Přidání síťových zařízení komunikujících s ISE Pokud ISE dělá pouze RADIUS proxy oproti serveru organizace nejsou konfigurační kroky v této kapitole nutné. Ale v případě že ISE bude provádět ještě nějaké jiné služby, je toto vhodné nastavení, protože v logu snadno rozlišíme různé autentizační/autorizační požadavky z různých přístupových zařízení. Vytvoření nové skupiny přístupových prvků. Toto umožní při použití více stejných typů zařízení pracovat v pravidlech se skupinami, případně je zohlednit v logu nebo reportech.

Přidání konkrétního Access Pointu do skupiny. Jelikož tato konfigurace slouží pro provoz ISE v RADIUS proxy režimu není nutné nastavovat RADIUS parametry. Adresa 192.168.43.190 je v našem případě lokální adresa přístupového prvku Meraki MR.

Definice externího RADIUS serveru RADIUS komunikace mezi sítí organizace a eduroam RADIUS servery musí být zabezpečena. eduroam podporuje metodu RadSec nebo IPsec v transparentním módu. My využijeme RadSec. Způsob autentizace je tedy: Meraki odesílá RADIUS zprávu na svůj definovaný AAA server (tj. ISE), ISE v režimu RADIUS proxy posílá dále na radsecproxy službu, kde dojde k zabezpečenému odeslání RADIUS zprávy na národní RADIUS server. Analogicky probíhá komunikace zpět (eduroam RADIUS à radsecproxy à ISE à Meraki AP). ISE pracuje v režimu RADIUS proxy, tj. radsecproxy instance je pro ISE externí RADIUS server. Vlastní zabezpečená komunikace mezi radsecproxy a eduroam RADIUS je již pro ISE plně transparentní. Protože ISE je pro přístupové prvky sítě RADIUS proxy server, fungující oproti externímu RADIUS serveru (zde radsecproxy instance) je potřeba tento externí server (radsecproxy) nakonfigurovat: V našem případě používáme instanci radsecproxy běžící na adrese 192.168.43.52. Tento server spuštěný např. s parametry: /usr/local/sbin/radsecproxy -d 3 přebírá proxyované RADIUS požadavky od ISE a v zabezpečené formě je odesílá na RADIUS server eduroam.

V autentizačních pravidlech pracujeme se sekvencí autentizačních zdrojů. Je tedy potřeba náš externí RADIUS server (radsecproxy) přidat do této sekvence. Provedeme jednoduše:

Autentizace V ISE lze pracovat s tzv. Policy Sets. Tento koncept zjednodušuje a zpřehledňuje konfiguraci, zvláště pokud provádíme vice typů autentizačních a autorizačních služeb pro různé typy přístupů. Před konfigurací autentizačních a autorizačních pravidel si tedy jedním tlačítkem zapneme používání Policy Sets: Nyní již můžeme kliknout na volbu Policy Sets : Tímto se nám zobrazí nabídka pro vytváření vlastních autentizačních a následně i autorizačních pravidel. Vytvoříme si nový Policy Set, zda nazvaný DOT1X. Tento rozklikneme a nastavíme autentizační pravidla. Tj. jakým způsobem bude prováděna autentizace přistupujících zařízení.

Pravidla autentizačních politik mohou být velmi exaktní. Přesně lze nastavit kde je jaký typ přístupu do sítě ověřován. V našem případě si můžeme podmínku jednoduše vytvořit na základě parametrů ve jménu uživatele: pokud je obsažen znak @ a není následován lokální doménou odesíláme autentizační požadavek na Identity Sekvenci eduroam, tj. náš externí RADIUS server radsecproxy. Poznámka: Authentication Policy meraki.cesnet.cz je třeba nahradit realmem organizace. Příklad - <název.školy>.cz Logování Úspěšné připojení na Meraki AP je v ISE logováno takto:

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář