O nadzoru
Sustav nadzora matičnih ustanova sastoji se od automatskog periodičkog nadzora rada servisa potrebnih za autentikaciju korisnika matične ustanove svim podržanim oblicima autentikacije.
Sustav nadzire RADIUS, LDAP i AOSI servise različitim metodama i postupcima.
Samoprovjera nadzora
Kroz sučelje Administracija AAI@EduHr na adresi https://administracija.aaiedu.hr moguće je pokrenuti nadzorne sustave u svrhu provjere u realnom vremenu klikom na oznaku 
Image Added pored datuma provjere.
Image Added
Pristup sučelju Administracija AAI@EduHr dozvoljen je imenovanim odgovornim osobama za AAI@EduHr .
Obavijesti nadzora
Sustav nadzora prilikom svog rada generira informacije i poruke vezane uz proces nadzora te o pojedinim stanjima obavještava kontakt osobe na matičnoj ustanovi. Poruke koje sustav generira mogu se pronaći u nastavku, s objašnjenjem o čemu se radi, te eventualno potrebnim akcijama na strani matične ustanove. Pripadajući status pored naziva poruke sugeriraju:
| Status | Opis |
|---|
| Provjeravani sustav/funkcionalnost radi ispravno |
| Provjeravani sustav/funkcionalnost radi uz moguće ograničenje |
| Provjeravani sustav/funkcionalnost radi neispravno ili ne radi uopće. |
RADIUS nadzorni sustavi
Nadzor RADIUS servisa obavljaju dvije nadzorne skripte koje provjeravaju funkcionalnost RADIUS servisa.
Nadzor rada (check_aai_radius)
Nadzor se sastoji od provjere odgovora RADIUS servisa na jednostavan RADIUS upit za autentikacijom. Očekuje se da na upit RADIUS servis odgovori s REJECT.
ei100 - OK → - Razlog: RADIUS servis ustanove radi ispravno i dostupan je sustavu nadzora.
ei101 - Server je nedostupan → - Razlog: Sustav nadzora prikazuje nedostupnost RADIUS servisa što može biti rezultat neispravnog rada RADIUS servisa i/ili mrežne nedostupnosti.
- Moguća rješenja:
- Provjera rada RADIUS servisa na serveru
- Provjera konfiguracije RADIUS servisa (preporučamo korištenje AAI@EduHr paketnih rješenja)
- Provjera mrežne konfiguracije (nužna dostupnost s IP adresa 161.53.2.215-218)
- Provjera statusa mrežne povezanosti servera na kojem se nalazi RADIUS servis.
Nadzor certifikata (aai_IdP_cert_check)
Nadzor se sastoji od dohvata serverskog certifikata koji poslužuje RADIUS servis za određeni IdP, njegove provjere, provjere root CA certifikata IdP-a zabilježenog na installer.eduroam.hr sustavu te provjere usklađenosti serverskog i root CA certifikata.
ei200 - OK → - Razlog: Serverski certifikat kojeg koristi RADIUS servis je dostupan i ispravan prema podacima dostupnim za matičnu ustanovu.
ei201 - Serverski certifikat istječe za manje od 30 dana → - Razlog: Provjerom serverskog certifikata koji koristi RADIUS servis utvrđeno je kako isti prestaje biti validan za manje od 30 dana.
- Moguća rješenja:
ei202 - Serverski certifikat izvan vremenskog ograničenja → ei203 - Root CA certifikat istječe za manje od 30 dana → - Razlog: Provjerom root certifikata koji koristi RADIUS servis utvrđeno je kako isti prestaje biti validan za manje od 30 dana.
- Moguća rješenja:
ei204 - Root CA certifikat izvan vremenskog ograničenja → - Razlog: Provjerom root certifikata koji koristi RADIUS servis utvrđeno je kako isti nije validan jer vremenski period za koji vrijedi ne uključuje dan provjere.
- Moguća rješenja:
ei205 - Serverski certifikat nije potpisan s root CA certifikatom → - Razlog: Serverski certifikat RADIUS servisa i root certifikat RADIUS servisa koji je zapisan na https://installer.eduroam.hr/ prilikom provjere potpisivanja ne odgovaraju zbog mogućih razloga :
- napravljen je novi root CA i prijavljen na https://installer.eduroam.hr, ali nije zamijenjen serverski certifikat RADIUS servisa
- izrađen je novi sustav certifikata root CA i serverski certifikat, no root CA nije prijavljen na https://installer.eduroam.hr
- izrađen je novi sustav certifikata root CA i serverski certifikat, no nije restartan RADIUS servis
- prošao je prekratki period (min 3 sata) od prijave root CA certifikata u https://installer.eduroam.hr/ i izvršene provjere
- povratak prijašnjeg serverskog certifikata koji nije potpisan s root CA certifikatom koji se nalazi na https://installer.eduroam.hr/.
- Moguća rješenja:
ei206 - Serverski certifikat nema podršku za Microsoft Windows 8+ operativni sustav → - Razlog: Prilikom provjere serverskog certifikata koji koristi RADIUS servis utvrđeno je da isti ne sadrži odgovarajuće metapodatke da bi mogao raditi s Microsoft Windows 8+ operacijskim sustavima. Više možete pročitati na Microsoftovoj stranici.
- Moguća rješenja:
ei207 - Serverski certifikat nema podršku za Android 11+ operativni sustav (SAN zapis) → - Razlog: Prilikom provjere serverskog certifikata koji koristi RADIUS servis utvrđeno je da ne sadrži potrebne metapodatke u obliku SAN što onemogućava autentikaciju na Android 11+ operativnim sustavima.
- Moguća rješenja:
ei208 - Serverski certifikat ima drugačiji CN od zapisa u installer.eduroam.hr bazi → - Razlog: Prilikom provjere serverskog certifikata koji koristi RADIUS servis utvrđeno je da CN zapis u certifikatu nema istu vrijednost s onom koja je zabilježena u sustavu https://installer.eduroam.hr/
- Moguća rješenja:
ei209 - Serverski certifikat ima prenizak kripto algoritam samo n bitova → - Razlog: Prilikom provjere serverskog certifikata koji koristi RADIUS servis utvrđeno je da isti ima premali broj bitova u kripto algoritmu, što utječe na njegovu sigurnost.
- Moguća rješenja:
ei210 - Nedostupan serverski certifikat → - Razlog: sustav nadzora nije u mogućnosti dohvatiti serverski certifikat koji koristi RADIUS servis.
- Moguća rješenja:
Provjera rada RADIUS servisa na serveru
Provjera konfiguracije RADIUS servisa (preporučamo korištenje AAI@EduHr paketnih rješenja)
Provjera mrežne konfiguracije (nužna dostupnost s IP adresa 161.53.2.215-218)
Provjera statusa mrežne povezanosti servera na kojem se nalazi RADIUS servis.
ei211 - Nedostupan root CA certifikat →
- Razlog: Komponenta nadzornog sustava je nedostupna.
- Moguća rješenja: Pričekati da se sustav oporavi.
ei212 - Realm je u procesu registracije →
- Razlog: Nova matična ustanova još nije prošla proces registracije, a nadzorni sustav je obavio nadzor.
- Moguća rješenja: Pričekati da se proces registracije završi.
LDAP nadzorni sustav
Nadzor LDAP servisa obavljaju jedna nadzorna skripta koje provjerava funkcionalnost LDAP servisa i broja korisnika.
Nadzor rada (check_aai_ldap)
li100 - OK! Anonymous bind successfull! → - Razlog: LDAP servis dostupan za matičnu ustanovu.
li101 - Could not connect to → - Razlog: Nemoguće je kontaktirati LDAP servis matične ustanove
Moguća rješenja:
li102 - Socket to LDAP could not be established → - Razlog: Nemoguće je uspostaviti vezu prema LDAP servisu matične ustanove
Moguća rješenja:
li103 - Could not bind as anonymous: → - Razlog: Nemoguće je ostvariti anonimni pristup na LDAP servis matične ustanove
Moguća rješenja:
Broj korisnika (check_aai_ldap)
li200 - OK! count successful: → - Razlog: Prebrojavanje korisnika je prošlo uspješno u LDAP imeniku matične ustanove s danim korisnikom.
li201 - Could not count as → - Razlog: Nemoguće je prebrojati korisnike u LDAP imeniku kao dani korisnik
Moguća rješenja:
li202 - Could not bind as → - Razlog: Nemoguće se povezati s LDAP servisom matične ustanove kao dani korisnik
Moguća rješenja:
AOSI nadzorni sustav
Nadzor AOSI servisa nadziru dvije nadzorne skripte koje provjeravaju funkcionalnost i dostupnost servisa.
Provjera servisa (check_aai_aosi.php)
ai100 - OK! AOSI version →
- Razlog: AOSI servis matične ustanove je dostupan u ispisanoj verziji.
ai101 - AOSI id: inst_id: doesn't exist. →
ai102 - WSDL bez service loaction: →
ai103 - Invalid host or port →
ai104 - Couldn't connect to →
- Razlog: Nemoguće se povezati na AOSI servis matične ustanove s prikazanim parametrima.
Moguća rješenja:
Dohvat podataka o paketima (check_aai_aosi.php)
ai200 - OK! LDAP: RADIUS: AOSI: OS: TLS: →
- Razlog: Prilikom povezivanja na AOSI servis matične ustanove dobiveni su sljedeći podaci o instaliranim paketima i verziji TLS-a.
Provjera certifikata