...

O nadzoru

Sustav nadzora matičnih ustanova  ustanova sastoji se od automatskog periodičkog nadzora rada servisa potrebnih za autentikaciju korisnika matične ustanove svim podržanim oblicima autentikacije.

...

Kroz sučelje Administracija AAI@EduHr na adresi https://administracija.aaiedu.hr moguće je pokrenuti nadzorne sustave u svrhu provjere u realnom vremenu klikom na oznaku pored datuma provjere.

Pristup sučelju Administracija AAI@EduHr dozvoljen je imenovanim odgovornim osobama za AAI@EduHr .

...

Sustav nadzora prilikom svog rada generira informacije i poruke vezane uz proces nadzora , te o pojedinim stanjima obavještava kontakt osobe na matičnoj ustanovi. Poruke koje sustav generira mogu se pronaći u nastavku, s objašnjenjem o čemu se radi, te eventualno potrebnim akcijama na strani matične ustanove. Pripadajući status pored naziva poruke sugeriraju:

RADIUS nadzorni sustavi

Nadzor RADIUS servisa obavljaju dvije nadzorne skripte koje provjeravaju funkcionalnost RADIUS servisa. 

...

Nadzor se sastoji od provjere odgovora RADIUS servisa na jednostavan RADIUS upit za autentikacijom. Očekuje se da na upit RADIUS servis odgovori s REJECT.

Anchor
ei100 ei100

ei100 -

...

OK → 

Status
colour Green title ok

• • Razlog: RADIUS servis ustanove radi ispravno i dostupan je sustavu nadzora.

Anchor
ei101 ei101

ei101 - Server je nedostupan

...

→ 

Status
colour Red title x

• • Razlog: Sustav nadzora prikazuje
nedostupnost 
• • nedostupnost RADIUS servisa što može biti rezultat neispravnog rada RADIUS servisa i/ili mrežne
nedostupnost
• • nedostupnosti.
  • Moguća rješenja:
    • Provjera rada RADIUS servisa na serveru
    • Provjera konfiguracije RADIUS servisa (preporučamo korištenje AAI@EduHr
paktenih
• • • paketnih rješenja)
    • Provjera mrežne konfiguracije (nužna dostupnost s IP adresa 161.53.2.215-218)
    • Provjera statusa mrežne povezanosti servera na kojem se nalazi RADIUS servis.

Nadzor

...

certifikata (aai_IdP_cert_check)

Nadzor se sastoji od dohvata serverskog certifikata koji poslužuje RADIUS servis za određeni IdP, njegove provjere, provjere root CA certifikata IdP-a zabilježenog na installer.eduroam.hr sustavu , te provjere usklađenosti serverskog i root CA certifikata.

Anchor
ei200 ei200

ei200 - OK → 

Status
colour Green title OK

• • Razlog: Serverski certifikat kojeg koristi RADIUS servis
,
• • je dostupan i ispravan prema podacima dostupnim za matičnu ustanovu.

Anchor
ei201 ei201

ei201 - Serverski certifikat istječe za manje od 30

...

dana →

Status
colour Yellow title Issue

• • Razlog: Provjerom serverskog certifikata koji koristi RADIUS servis utvrđeno je kako isti prestaje biti validan za manje od 30 dana.
  • Moguća rješenja: 

    • Potrebno je obnoviti

RADIUS

• • • serverski certifikat koji

se koristi pri RADISU autentikaciji:
• napraviti siguronosnu kopiju fRcerts direktorija
regenerirati RADIUS certifikat koristeci cert-admin skriptu (iz novog tar-a), točka 3.2 iz uputa na web adresi

• • • koristi RADIUS servis

    • Uputu za rad s serverskim certifikatom za RADIUS servis možete pronaći na stranici Upute za upravljanje certifikatom (FreeRADIUS)
      
    • Ako koristite skriptu na https://www.eduroam.hr/server-certs/
• restartati RADIUS servis
• provjeriti u logovima je li sve radi ispravno.
Više informacija o RADIUS certifikatima možete pronaći na : https://wiki.srce.hr/spaces/AAIUPUTE/pages/66781213/Upute+za+upravljanje+certifikatom+FreeRADIUS
• • • obavite samo korak 3.2.

Anchor
ei202 ei202

ei202 - Serverski certifikat izvan vremenskog

...

ograničenja → 

Status
colour Red title ISSUE

• • Razlog: Provjerom serverskog certifikata koji koristi RADIUS servis utvrđeno je kako isti nije validan jer vremenski period za koji vrijedi ne uključuje dan provjere.

  • Moguća rješenja: 

    • Potrebno je obnoviti

  RADIUS

  • • serverski certifikat koji

  se

  • • koristi

  pri RADIUSU autentikaciji:
  • napraviti siguronosnu kopiju fRcerts direktorija
  • regenerirati RADIUS certifikat koristeci cert-admin skriptu (iz novog tar-a), točka 3.2 iz uputa na web adresi https://www.eduroam.hr/server-certs/
  • restartati RADIUS servis
  • provjeriti u logovima je li sve radi ispravno.
  Više informacija o RADIUS certifikatima možete pronaći na : https://wiki.srce.hr/spaces/AAIUPUTE/pages/66781213/Upute+za+upravljanje+certifikatom+FreeRADIUS, a više informacija o skripti za izradu certifikata dostupno je na adresi :

  • • RADIUS servis

    • Uputu za rad s serverskim certifikatom za RADIUS servis možete pronaći na stranici Upute za upravljanje certifikatom (FreeRADIUS)
      
    • Ako koristite skriptu na https://www.eduroam.hr/server-certs/ obavite samo korak 3.2.

Anchor
ei203 ei203

ei203 -

...

Root CA certifikat istječe za manje od 30 dana →

Status
colour Yellow title Issue

• • Razlog: Provjerom root certifikata koji koristi RADIUS servis utvrđeno je kako isti prestaje biti validan za manje od 30 dana.
  • Moguća rješenja: 

    • Potrebno je obnoviti root CA certifikat i serverski certifikat koji koristi RADIUS servis

    • Upute za obnovu sustava certifikata nalaze se na

web adresi https://wiki.srce.hr/spaces/AAIUPUTE/pages/194296155/Generiranje+sustava+freeRADIUS+certifikata+

• • • stranici Generiranje sustava freeRADIUS certifikata (root + RADIUS

+

• • • certifikat).

Anchor
ei204 ei204

ei204 - Root CA certifikat izvan vremenskog

...

ograničenja → 

Status
colour Red title ISSUE

• • Razlog: Provjerom root certifikata koji koristi RADIUS servis utvrđeno je kako isti nije validan jer vremenski period za koji vrijedi ne uključuje dan provjere.
  • Moguća rješenja: 

    • Potrebno je obnoviti root CA certifikat i serverski certifikat koji koristi RADIUS servis

    • Upute za obnovu sustava certifikata nalaze se na

web adresi https://wiki.srce.hr/spaces/AAIUPUTE/pages/194296155/Generiranje+sustava+freeRADIUS+certifikata+

• • • stranici Generiranje sustava freeRADIUS certifikata (root + RADIUS

+

• • • certifikat).

Anchor
ei205 ei205

ei205  - Serverski certifikat nije potpisan s root CA certifikatom

...

 → 

Status
colour Red title ISSUE

• • Razlog: Serverski certifikat RADIUS servisa i root certifikat RADIUS servisa koji je zapisan na https://installer.eduroam.hr/ prilikom provjere potpisivanja ne odgovaraju zbog mogućih razloga : 
    • napravljen je
Ako je generiran
• • • novi root CA
zbog isteka i zatim njime potpisan
• • • i prijavljen na https://installer.eduroam.hr, ali nije zamijenjen serverski certifikat RADIUS servisa
, potrebno je sljedeće:novi root CA postaviti u konfiguraciju eduroam installera prema uputama na web adresi
• • • izrađen je novi sustav certifikata root CA i serverski certifikat, no root CA nije prijavljen na https://
wiki
• poslati e-mail na eduroam@srce.hr radi provjere
obavijestite korisnike da ukoliko koriste eduroam uslugu rekonfiguriraju uređaje novim installerom u kojem se nalazi novi root CA (
• • • installer.
srce.hr/spaces/AAIUPUTE/pages/76153204/Kako+korisnicima+omogu%C4%87iti+spajanje+na+eduroam
• • • eduroam.hr
    • izrađen je novi sustav certifikata root CA i serverski certifikat, no nije restartan RADIUS servis
    • prošao je prekratki period (min 3 sata) od prijave root CA certifikata u https://installer.eduroam.hr/ i izvršene provjere
    • povratak prijašnjeg serverskog certifikata koji nije potpisan s root CA certifikatom koji se nalazi na
• • • https://installer.eduroam.hr/.
  • Moguća rješenja:
    • Ako je generiran novi root CA i serverski certifikat potrebno je slijediti uputu Generiranje sustava freeRADIUS certifikata (root + RADIUS certifikat)
      
    • Provjeru sustava certifikata moguće je napraviti na samom serveru koristeći se uputom na stranici Upute za upravljanje certifikatom (FreeRADIUS).
      

Anchor
ei206 ei206

ei206 - Serverski certifikat nema podršku za Microsoft Windows 8+ operativni sustav

...

→

Status
colour Yellow title Issue

• • Razlog: Prilikom provjere serverskog certifikata koji koristi RADIUS servis utvrđeno je da isti ne sadrži odgovarajuće metapodatke da bi mogao raditi s Microsoft Windows 8+ operacijskim sustavima. Više možete pročitati na Microsoftovoj stranici.
  • Moguća rješenja: 
    
    • obnova serverskog certifikata koji koristi RADIUS servis prema uputi na stranici Upute za upravljanje certifikatom (FreeRADIUS), odnosno ako koristite skriptu na https://www.eduroam.hr/server-certs samo korak 3.2
    • obnova sustava certifikata - root CA i serverskog certifikata koji koristi RADIUS servis prema uputi na stranici Generiranje sustava freeRADIUS certifikata (root + RADIUS certifikat)
Problem sa Windows 8 operacijskim sustavom leži u poslužiteljskom certifikatu koji služi za zatvaranje TLS tunela pri spajanju. Ukoliko se korisnici Windows 8 operacijskog sustava ne mogu spojiti na eduroam pomoću programske podrške preuzete sa eduroam installer usluge, poslužiteljski certifikat nema odsječak koji govori Windows 8 operacijskim sustavima da se radi upravo o certifikatu namijenjenom za EAP-TLS te ga zato odbijaju. Detaljan opis problema dan je na Microsoftovoj stranici. Da biste omogućili spajanje Windows 8 korisnika dovoljno je ponovno generirati poslužiteljski certifikat prema uputama na stranici Kako prilagoditi installer.eduroam.hr uslugu za Windows 8 operacijski sustav?
• • • .

Anchor
ei207 ei207

ei207 - Serverski certifikat nema podršku za Android 11+ operativni sustav (SAN zapis)

...

 →

Status
colour Yellow title Issue

• • Razlog: Prilikom provjere serverskog certifikata koji koristi RADIUS servis utvrđeno je da ne sadrži potrebne metapodatke u obliku SAN što onemogućava autentikaciju na Android 11+ operativnim sustavima.
  Potrebno je generirati sustav certifikata prema uputama na web adresi
  • Moguća rješenja: 
    
    • obnova serverskog certifikata koji koristi RADIUS servis prema uputi na stranici Upute za upravljanje certifikatom (FreeRADIUS), odnosno ako koristite skriptu na
  • • https://
  wiki
  • • www.
  srce
  • • eduroam.hr/
  spaces/AAIUPUTE/pages/194296155/Generiranje+sustava+freeRADIUS+certifikata+root+RADIUS+certifikat
  • • server-certs samo korak 3.2
    • obnova sustava certifikata root CA i serverskog certifikat koji koristi RADIUS servis prema uputi na stranici Generiranje sustava freeRADIUS certifikata (root + RADIUS certifikat)
  jer trenutni RADIUS certifikat nema SAN atribut koji je potreban kod nekih uređaja za autentikaciju na eduroam usluzi
  • • .

Anchor
ei208 ei208

ei208 - Serverski certifikat ima drugačiji CN od zapisa u installer.eduroam.hr bazi  →

Status
colour Yellow title Issue

• • Razlog: Prilikom provjere serverskog certifikata koji koristi RADIUS servis utvrđeno je da CN zapis u certifikatu nema istu vrijednost s onom koja je zabilježena u sustavu https://installer.eduroam.hr/
  • Moguća rješenja: 
    • ispravak CN polja u sustavu https://installer.eduroam.hr/
    • obnova serverskog certifikata koji koristi RADIUS servis prema uputi na stranici Upute za upravljanje certifikatom (FreeRADIUS), odnosno ako koristite skriptu na https://www.eduroam.hr/server-certs samo korak 3.2

Anchor
ei209 ei209

ei209 -

...

Serverski certifikat ima prenizak kripto algoritam samo n bitova

...

 →

Status
colour Yellow title Issue

Zbog sigurnosnog problema ukoliko certifikat koristi nizak kriptografski algoritam, preporuka je prema uputama na adresi
• • Razlog: Prilikom provjere serverskog certifikata koji koristi RADIUS servis utvrđeno je da isti ima premali broj bitova u kripto algoritmu, što utječe na njegovu sigurnost.
  • Moguća rješenja: 
    
    • obnova serverskog certifikata koji koristi RADIUS servis prema uputi na stranici Upute za upravljanje certifikatom (FreeRADIUS), odnosno ako koristite skriptu na
• • • https://
wiki
• • • www.
srce
• • • eduroam.hr/
spaces/AAIUPUTE/pages/194296155/Generiranje+sustava+freeRADIUS+certifikata+root+RADIUS+certifikat
generirati novi root CA i serverski certifikat koji koristi sigurniji algoritam
• • • server-certs samo korak 3.2.

Anchor
ei210 ei210

ei210 -

...

Nedostupan serverski certifikat → 

Status
colour Red title ERROR

• • Razlog: sustav nadzora nije u mogućnosti dohvatiti serverski certifikat koji koristi RADIUS servis.
  • Moguća rješenja: 

    • Provjera rada RADIUS servisa na serveru

    • Provjera konfiguracije RADIUS servisa (preporučamo korištenje AAI@EduHr paketnih rješenja)

    • Provjera mrežne konfiguracije (nužna dostupnost s IP adresa 161.53.2.215-218)

    • Provjera statusa mrežne povezanosti servera na kojem se nalazi RADIUS servis.

Anchor
ei211 ei211

ei211 -

...

Nedostupan root CA certifikat →

Status
colour Yellow title Issue

• • Razlog: Komponenta nadzornog sustava je nedostupna.
  • Moguća rješenja: Pričekati da se sustav oporavi.

Anchor
ei212 ei212

ei212 -

...

Realm je u procesu registracije →

Status
colour Yellow title Issue

• • Razlog: Nova matična ustanova još nije prošla proces registracije, a nadzorni sustav je obavio nadzor.
  • Moguća rješenja: Pričekati da se proces registracije završi.

LDAP nadzorni sustav

Nadzor LDAP servisa obavljaju jedna nadzorna skripta koje provjerava funkcionalnost LDAP servisa i broja korisnika.

Nadzor rada (check_aai_ldap)

Anchor
li100 li100

li100 - OK! Anonymous bind successfull! → 

Status
colour Green title OK

• • Razlog: LDAP servis dostupan za matičnu ustanovu.

Anchor
li101 li101

li101 - Could not connect to → 

Status
colour Red title x

• • Razlog: Nemoguće je kontaktirati LDAP servis matične ustanove

  • Moguća rješenja:

Anchor
li102 li102

li102 - Socket to LDAP could not be established → 

Status
colour Red title x

• • Razlog: Nemoguće je uspostaviti vezu prema LDAP servisu matične ustanove

  • Moguća rješenja: 

Anchor
li103 li103

li103 - Could not bind as anonymous: →

Status
colour Yellow title Issue

• • Razlog: Nemoguće je ostvariti anonimni pristup na LDAP servis matične ustanove

  • Moguća rješenja: 

Broj korisnika (check_aai_ldap)

Anchor
li200 li200

li200 - OK! count successful: → 

Status
colour Green title OK

• • Razlog: Prebrojavanje korisnika je prošlo uspješno u LDAP imeniku matične ustanove s danim korisnikom.

Anchor
li201 li201

li201 - Could not count as →

Status
colour Yellow title Issue

• • Razlog: Nemoguće je prebrojati korisnike u LDAP imeniku kao dani korisnik

  • Moguća rješenja: 

Anchor
li202 li202

li202 - Could not bind as →

Status
colour Yellow title Issue

• • Razlog: Nemoguće se povezati s LDAP servisom matične ustanove kao dani korisnik

  • Moguća rješenja: 

AOSI nadzorni sustav

Nadzor AOSI servisa nadziru dvije nadzorne skripte koje provjeravaju funkcionalnost i dostupnost servisa.

Provjera servisa (check_aai_aosi.php)

Anchor
ai100 ai100

ai100 - OK! AOSI version →

Status
colour Green title OK

• • Razlog: AOSI servis matične ustanove je dostupan u ispisanoj verziji.

Anchor
ai101 ai101

ai101 - AOSI id:  inst_id:  doesn't exist.  →

Status
colour Yellow title Issue

• • Razlog:

  • Moguća rješenja: 

Anchor
ai102 ai102

ai102 - WSDL bez service loaction:  →

Status
colour Yellow title Issue

• • Razlog:

  • Moguća rješenja: 

Anchor
ai103 ai103

ai103 - Invalid host or port → 

Status
colour Red title x

• • Razlog:

  • Moguća rješenja: 

Anchor
ai104 ai104

ai104 - Couldn't connect to → 

Status
colour Red title x

• • Razlog: Nemoguće se povezati na AOSI servis matične ustanove s prikazanim parametrima.

  • Moguća rješenja: 

Dohvat podataka o paketima (check_aai_aosi.php)

Anchor
ai200 ai200

ai200 - OK! LDAP:  RADIUS:   AOSI:  OS:   TLS: →

Status
colour Green title OK

• • Razlog: Prilikom povezivanja na AOSI servis matične ustanove dobiveni su sljedeći podaci o instaliranim paketima i verziji TLS-a.

Provjera certifikata