...
O nadzoru
Sustav nadzora matičnih ustanova ustanova sastoji se od automatskog periodičkog nadzora rada servisa potrebnih za autentikaciju korisnika matične ustanove svim podržanim oblicima autentikacije.
Sustav nadzire RADIUS, LDAP i AOSI servise različitim metodama i postupcima.
Samoprovjera nadzora
Kroz sučelje Administracija AAI@EduHr na adresi https://administracija.aaiedu.hr moguće je pokrenuti nadzorne sustave u svrhu provjere u realnom vremenu klikom na oznaku 
Image Added pored datuma provjere.
Image Added
Pristup sučelju Administracija AAI@EduHr dozvoljen je imenovanim odgovornim osobama za AAI@EduHr .
Obavijesti nadzora
Sustav nadzora prilikom svog rada generira informacije i poruke vezane uz proces nadzora , te o pojedinim stanjima obavještava kontakt osobe na matičnoj ustanovi. Poruke koje sustav generira mogu se pronaći u nastavku, s objašnjenjem o čemu se radi, te eventualno potrebnim akcijama na strani matične ustanove. Pripadajući status pored naziva poruke sugeriraju:
| Status | Opis |
|---|
| Provjeravani sustav/funkcionalnost radi ispravno |
| Provjeravani sustav/funkcionalnost radi uz moguće ograničenje |
| Provjeravani sustav/funkcionalnost radi neispravno ili ne radi uopće. |
RADIUS nadzorni sustavi
Nadzor RADIUS servisa obavljaju dvije nadzorne skripte koje provjeravaju funkcionalnost RADIUS servisa.
...
Nadzor se sastoji od provjere odgovora RADIUS servisa na jednostavan RADIUS upit za autentikacijom. Očekuje se da na upit RADIUS servis odgovori s REJECT.
ei100 - ...
OK →
- Razlog: RADIUS servis ustanove radi ispravno i dostupan je sustavu nadzora.
ei101 - ...
Server je nedostupan →
- Razlog: Sustav nadzora prikazuje
...
- nedostupnost RADIUS servisa što može biti rezultat neispravnog rada RADIUS servisa i/ili mrežne nedostupnosti.
- Moguća rješenja:
- Provjera rada RADIUS servisa na serveru
- Provjera konfiguracije RADIUS servisa (preporučamo korištenje AAI@EduHr paketnih rješenja)
- Provjera mrežne konfiguracije (nužna dostupnost s IP adresa 161.53.2.215-218)
- Provjera statusa mrežne povezanosti servera na kojem se nalazi RADIUS servis.
Nadzor certifikata (aai_IdP_cert_check)
Nadzor se sastoji od dohvata serverskog certifikata koji poslužuje RADIUS servis za određeni IdP, njegove provjere, provjere root CA certifikata IdP-a zabilježenog na installer.eduroam.hr sustavu , te provjere usklađenosti serverskog i root CA certifikata.
ei200 - ...
OK →
- Razlog: Serverski certifikat kojeg koristi RADIUS servis je dostupan i ispravan prema podacima dostupnim za matičnu ustanovu.
ei201 - ...
Serverski certifikat istječe za manje od 30 dana →
- Razlog: Provjerom serverskog certifikata koji koristi RADIUS servis utvrđeno je kako isti prestaje biti validan za manje od 30 dana.
- Moguća rješenja:
- napraviti siguronosnu kopiju fRcerts direktorija
regenerirati RADIUS certifikat koristeci cert-admin skriptu (iz novog tar-a), točka 3.2 iz uputa na web adresi - restartati RADIUS servis
- provjeriti u logovima je li sve radi ispravno.
Više informacija o RADIUS certifikatima možete pronaći na : https://wiki.srce.hr/spaces/AAIUPUTE/pages/66781213/Upute+za+upravljanje+certifikatom+FreeRADIUS
ei202 - Serverski certifikat izvan vremenskog ...
ograničenja →
RADIUS se pri RADIUSU autentikaciji:- napraviti siguronosnu kopiju fRcerts direktorija
- regenerirati RADIUS certifikat koristeci cert-admin skriptu (iz novog tar-a), opcija 3.2
- restartati RADIUS servis
- provjeriti u logovima je li sve radi ispravno.
Više informacija o RADIUS certifikatima možete pronaći na : https://wiki.srce.hr/spaces/AAIUPUTE/pages/66781213/Upute+za+upravljanje+certifikatom+FreeRADIUS, a više informacija o skripti za izradu certifikata dostupno je na adresi :
ei203 - ...
Root CA certifikat istječe za manje od 30 dana →
- Razlog: Provjerom root certifikata koji koristi RADIUS servis utvrđeno je kako isti prestaje biti validan za manje od 30 dana.
- Moguća rješenja:
ei204 - Root CA certifikat izvan vremenskog ...
ograničenja →
- Razlog: Provjerom root certifikata koji koristi RADIUS servis utvrđeno je kako isti nije validan jer vremenski period za koji vrijedi ne uključuje dan provjere.
- Moguća rješenja:
web adresi https://wiki.srce.hr/spaces/AAIUPUTE/pages/194296155/Generiranje+sustava+freeRADIUS+certifikata++
ei205 - Serverski certifikat nije potpisan s root CA certifikatom ...
→
- Razlog: Serverski certifikat RADIUS servisa i root certifikat RADIUS servisa koji je zapisan na https://installer.eduroam.hr/ prilikom provjere potpisivanja ne odgovaraju zbog mogućih razloga : Ako je generiran zbog isteka i zatim njime potpisan , potrebno je sljedeće:
- izrađen je novi sustav certifikata root CA i serverski certifikat, no root CA nije prijavljen na
novi root CA postaviti u konfiguraciju eduroam installera prema uputama na web adresi - https://
wiki- installer.
srce.hr/spaces/AAIUPUTE/pages/76153204/Kako+korisnicima+omogu%C4%87iti+spajanje+na+eduroam- eduroam.hr
- izrađen je novi sustav certifikata root CA i serverski certifikat, no nije restartan RADIUS servis
- prošao je prekratki period (min 3 sata) od prijave root CA certifikata u https://installer.eduroam.hr/ i izvršene provjere
- poslati e-mail na eduroam@srce.hr radi provjere
obavijestite korisnike da ukoliko koriste eduroam uslugu rekonfiguriraju uređaje novim installerom u kojem se nalazi novi root CA (- povratak prijašnjeg serverskog certifikata koji nije potpisan s root CA certifikatom koji se nalazi na
- https://installer.eduroam.hr/.
- Moguća rješenja:
ei206 - Serverski certifikat nema podršku za Microsoft Windows 8+ operativni sustav ...
→
- Razlog: Prilikom provjere serverskog certifikata koji koristi RADIUS servis utvrđeno je da isti ne sadrži odgovarajuće metapodatke da bi mogao raditi s Microsoft Windows 8+ operacijskim sustavima. Više možete pročitati na Microsoftovoj stranici.
- Moguća rješenja:
Problem sa Windows 8 operacijskim sustavom leži u poslužiteljskom certifikatu koji služi za zatvaranje TLS tunela pri spajanju. Ukoliko se korisnici Windows 8 operacijskog sustava ne mogu spojiti na eduroam pomoću programske podrške preuzete sa eduroam installer usluge, poslužiteljski certifikat nema odsječak koji govori Windows 8 operacijskim sustavima da se radi upravo o certifikatu namijenjenom za EAP-TLS te ga zato odbijaju. Detaljan opis problema dan je na Microsoftovoj stranici. Da biste omogućili spajanje Windows 8 korisnika dovoljno je ponovno generirati poslužiteljski certifikat prema uputama na stranici Kako prilagoditi installer.eduroam.hr uslugu za Windows 8 operacijski sustav?
ei207 - Serverski certifikat nema podršku za Android 11+ operativni sustav (SAN zapis)...
→
Potrebno je generirati sustav certifikata prema uputama na web adresi - Razlog: Prilikom provjere serverskog certifikata koji koristi RADIUS servis utvrđeno je da ne sadrži potrebne metapodatke u obliku SAN što onemogućava autentikaciju na Android 11+ operativnim sustavima.
- Moguća rješenja:
ei208 - Serverski certifikat ima drugačiji CN od zapisa u installer.eduroam.hr bazi → - Razlog: Prilikom provjere serverskog certifikata koji koristi RADIUS servis utvrđeno je da CN zapis u certifikatu nema istu vrijednost s onom koja je zabilježena u sustavu https://installer.eduroam.hr/
- Moguća rješenja:
ei209 - ...
Serverski certifikat ima prenizak kripto algoritam samo n bitova →
- Razlog: Prilikom provjere serverskog certifikata koji koristi RADIUS servis utvrđeno je da isti ima premali broj bitova u kripto algoritmu, što utječe na njegovu sigurnost.
- Moguća rješenja:
ei210 - ...
Nedostupan serverski certifikat →
- Razlog: sustav nadzora nije u mogućnosti dohvatiti serverski certifikat koji koristi RADIUS servis.
- Moguća rješenja:
Provjera rada RADIUS servisa na serveru
Provjera konfiguracije RADIUS servisa (preporučamo korištenje AAI@EduHr paketnih rješenja)
Provjera mrežne konfiguracije (nužna dostupnost s IP adresa 161.53.2.215-218)
Provjera statusa mrežne povezanosti servera na kojem se nalazi RADIUS servis.
ei211 -
...
Nedostupan root CA certifikat →
- Razlog: Komponenta nadzornog sustava je nedostupna.
- Moguća rješenja: Pričekati da se sustav oporavi.
ei212 -
...
Realm je u procesu registracije →
- Razlog: Nova matična ustanova još nije prošla proces registracije, a nadzorni sustav je obavio nadzor.
- Moguća rješenja: Pričekati da se proces registracije završi.
LDAP nadzorni sustav
Nadzor LDAP servisa obavljaju jedna nadzorna skripta koje provjerava funkcionalnost LDAP servisa i broja korisnika.
Nadzor rada (check_aai_ldap)
li100 - OK! Anonymous bind successfull! → - Razlog: LDAP servis dostupan za matičnu ustanovu.
li101 - Could not connect to → - Razlog: Nemoguće je kontaktirati LDAP servis matične ustanove
Moguća rješenja:
li102 - Socket to LDAP could not be established → - Razlog: Nemoguće je uspostaviti vezu prema LDAP servisu matične ustanove
Moguća rješenja:
li103 - Could not bind as anonymous: → - Razlog: Nemoguće je ostvariti anonimni pristup na LDAP servis matične ustanove
Moguća rješenja:
Broj korisnika (check_aai_ldap)
li200 - OK! count successful: → - Razlog: Prebrojavanje korisnika je prošlo uspješno u LDAP imeniku matične ustanove s danim korisnikom.
li201 - Could not count as → - Razlog: Nemoguće je prebrojati korisnike u LDAP imeniku kao dani korisnik
Moguća rješenja:
li202 - Could not bind as → - Razlog: Nemoguće se povezati s LDAP servisom matične ustanove kao dani korisnik
Moguća rješenja:
AOSI nadzorni sustav
Nadzor AOSI servisa nadziru dvije nadzorne skripte koje provjeravaju funkcionalnost i dostupnost servisa.
Provjera servisa (check_aai_aosi.php)
ai100 - OK! AOSI version →
- Razlog: AOSI servis matične ustanove je dostupan u ispisanoj verziji.
ai101 - AOSI id: inst_id: doesn't exist. →
ai102 - WSDL bez service loaction: →
ai103 - Invalid host or port →
ai104 - Couldn't connect to →
- Razlog: Nemoguće se povezati na AOSI servis matične ustanove s prikazanim parametrima.
Moguća rješenja:
Dohvat podataka o paketima (check_aai_aosi.php)
ai200 - OK! LDAP: RADIUS: AOSI: OS: TLS: →
- Razlog: Prilikom povezivanja na AOSI servis matične ustanove dobiveni su sljedeći podaci o instaliranim paketima i verziji TLS-a.
Provjera certifikata