...

O nadzoru

Sustav nadzora matičnih ustanova  ustanova sastoji se od automatskog periodičkog nadzora rada servisa potrebnih za autentikaciju korisnika matične ustanove svim podržanim oblicima autentikacije.

...

Kroz sučelje Administracija AAI@EduHr na adresi https://administracija.aaiedu.hr moguće je pokrenuti nadzorne sustave u svrhu provjere u realnom vremenu klikom na oznaku pored datuma provjere.

Pristup sučelju Administracija AAI@EduHr dozvoljen je imenovanim odgovornim osobama za AAI@EduHr .

...

Sustav nadzora prilikom svog rada generira informacije i poruke vezane uz proces nadzora , te o pojedinim stanjima obavještava kontakt osobe na matičnoj ustanovi. Poruke koje sustav generira mogu se pronaći u nastavku, s objašnjenjem o čemu se radi, te eventualno potrebnim akcijama na strani matične ustanove. Pripadajući status pored naziva poruke sugeriraju:

RADIUS nadzorni sustavi

Nadzor RADIUS servisa obavljaju dvije nadzorne skripte koje provjeravaju funkcionalnost RADIUS servisa. 

...

Anchor
ei101 ei101

ei101 - Server je nedostupan → 

Status
colour Red title x

• • Razlog: Sustav nadzora prikazuje
nedostupnost 
• • nedostupnost RADIUS servisa što može biti rezultat neispravnog rada RADIUS servisa i/ili mrežne
nedostupnost
• • nedostupnosti.
  • Moguća rješenja:
    • Provjera rada RADIUS servisa na serveru
    • Provjera konfiguracije RADIUS servisa (preporučamo korištenje AAI@EduHr
paktenih
• • • paketnih rješenja)
    • Provjera mrežne konfiguracije (nužna dostupnost s IP adresa 161.53.2.215-218)
    • Provjera statusa mrežne povezanosti servera na kojem se nalazi RADIUS servis.

Nadzor

...

certifikata (aai_IdP_cert_check)

Nadzor se sastoji od dohvata serverskog certifikata koji poslužuje RADIUS servis za određeni IdP, njegove provjere, provjere root CA certifikata IdP-a zabilježenog na installer.eduroam.hr sustavu , te provjere usklađenosti serverskog i root CA certifikata.

Anchor
ei200 ei200

ei200 - OK → 

Status
colour Green title OK

• • Razlog: Serverski certifikat kojeg koristi RADIUS servis
,
• • je dostupan i ispravan prema podacima dostupnim za matičnu ustanovu.

Anchor
ei201 ei201

ei201 - Serverski certifikat istječe za manje od 30 dana →

Status
colour Yellow title Issue

• • Razlog: Provjerom serverskog certifikata koji koristi RADIUS servis utvrđeno je kako isti prestaje biti validan za manje od 30 dana.
  • Moguća rješenja: 

    • Potrebno je obnoviti serverski certifikat koji koristi

RADISU

• • • RADIUS servis

    • Uputu za rad s serverskim certifikatom za RADIUS servis možete pronaći na stranici Upute za upravljanje certifikatom (FreeRADIUS)
      
    • Ako koristite skriptu na https://www.eduroam.hr/server-certs/ obavite samo korak 3.2.

Anchor
ei202 ei202

ei202 - Serverski certifikat izvan vremenskog

...

ograničenja → 

Status
colour Red title ISSUE

• • Razlog: Provjerom serverskog certifikata koji koristi RADIUS servis utvrđeno je kako isti nije validan jer vremenski period za koji vrijedi ne uključuje dan provjere.

  • Moguća rješenja: 

    • Potrebno je obnoviti

  RADIUS

  • • serverski certifikat koji

  se

  • • koristi

  pri RADIUSU autentikaciji:
  • napraviti siguronosnu kopiju fRcerts direktorija
  • regenerirati RADIUS certifikat koristeci cert-admin skriptu (iz novog tar-a), točka 3.2 iz uputa na web adresi https://www.eduroam.hr/server-certs/
  • restartati RADIUS servis
  • provjeriti u logovima je li sve radi ispravno.
  Više informacija o RADIUS certifikatima možete pronaći na : https://wiki.srce.hr/spaces/AAIUPUTE/pages/66781213/Upute+za+upravljanje+certifikatom+FreeRADIUS, a više informacija o skripti za izradu certifikata dostupno je na adresi :

  • • RADIUS servis

    • Uputu za rad s serverskim certifikatom za RADIUS servis možete pronaći na stranici Upute za upravljanje certifikatom (FreeRADIUS)
      
    • Ako koristite skriptu na https://www.eduroam.hr/server-certs/ obavite samo korak 3.2.

Anchor
ei203 ei203

ei203 - Root CA certifikat istječe za manje od 30 dana →

Status
colour Yellow title Issue

• • Razlog: Provjerom root certifikata koji koristi RADIUS servis utvrđeno je kako isti prestaje biti validan za manje od 30

...

• • dana.
  • Moguća rješenja: 

    • Potrebno je obnoviti root CA certifikat i serverski certifikat koji koristi RADIUS servis

    • Upute za obnovu sustava certifikata nalaze se na

web adresi https://wiki.srce.hr/spaces/AAIUPUTE/pages/194296155/Generiranje+sustava+freeRADIUS+certifikata+

• • • stranici Generiranje sustava freeRADIUS certifikata (root + RADIUS

+

• • • certifikat).

Anchor
ei204 ei204

ei204 - Root CA certifikat izvan vremenskog

...

ograničenja → 

Status
colour Red title ISSUE

• • Razlog: Provjerom root certifikata koji koristi RADIUS servis utvrđeno je kako isti nije validan jer vremenski period za koji vrijedi ne uključuje dan provjere.
  • Moguća rješenja: 

    • Potrebno je obnoviti root CA certifikat i serverski certifikat koji koristi RADIUS servis

    • Upute za obnovu sustava certifikata nalaze se na

web adresi https://wiki.srce.hr/spaces/AAIUPUTE/pages/194296155/Generiranje+sustava+freeRADIUS+certifikata+

• • • stranici Generiranje sustava freeRADIUS certifikata (root + RADIUS

+

• • • certifikat).

Anchor
ei205 ei205

ei205  - Serverski certifikat nije potpisan s root CA certifikatom

...

 → 

Status
colour Red title ISSUE

• • Razlog: Serverski certifikat RADIUS servisa i root certifikat RADIUS servisa koji je zapisan na https://installer.eduroam.hr/ prilikom provjere potpisivanja ne odgovaraju zbog mogućih razloga : 
    • napravljen je
Ako je generiran
• • • novi root CA
zbog isteka i zatim njime potpisan
• • • i prijavljen na https://installer.eduroam.hr, ali nije zamijenjen serverski certifikat RADIUS servisa
, potrebno je sljedeće:novi root CA postaviti u konfiguraciju eduroam installera prema uputama na web adresi
• • • izrađen je novi sustav certifikata root CA i serverski certifikat, no root CA nije prijavljen na https://
wiki
• poslati e-mail na eduroam@srce.hr radi provjere
obavijestite korisnike da ukoliko koriste eduroam uslugu rekonfiguriraju uređaje novim installerom u kojem se nalazi novi root CA (
• • • installer.
srce.hr/spaces/AAIUPUTE/pages/76153204/Kako+korisnicima+omogu%C4%87iti+spajanje+na+eduroam
• • • eduroam.hr
    • izrađen je novi sustav certifikata root CA i serverski certifikat, no nije restartan RADIUS servis
    • prošao je prekratki period (min 3 sata) od prijave root CA certifikata u https://installer.eduroam.hr/ i izvršene provjere
    • povratak prijašnjeg serverskog certifikata koji nije potpisan s root CA certifikatom koji se nalazi na
• • • https://installer.eduroam.hr/.
  • Moguća rješenja:
    • Ako je generiran novi root CA i serverski certifikat potrebno je slijediti uputu Generiranje sustava freeRADIUS certifikata (root + RADIUS certifikat)
      
    • Provjeru sustava certifikata moguće je napraviti na samom serveru koristeći se uputom na stranici Upute za upravljanje certifikatom (FreeRADIUS).
      

Anchor
ei206 ei206

ei206 - Serverski certifikat nema podršku za Microsoft Windows 8+ operativni sustav

...

→

Status
colour Yellow title Issue

• • Razlog: Prilikom provjere serverskog certifikata koji koristi RADIUS servis utvrđeno je da isti ne sadrži odgovarajuće metapodatke da bi mogao raditi s Microsoft Windows 8+ operacijskim sustavima. Više možete pročitati na Microsoftovoj stranici.
  • Moguća rješenja: 
    
    • obnova serverskog certifikata koji koristi RADIUS servis prema uputi na stranici Upute za upravljanje certifikatom (FreeRADIUS), odnosno ako koristite skriptu na https://www.eduroam.hr/server-certs samo korak 3.2
    • obnova sustava certifikata - root CA i serverskog certifikata koji koristi RADIUS servis prema uputi na stranici Generiranje sustava freeRADIUS certifikata (root + RADIUS certifikat)
Problem sa Windows 8 operacijskim sustavom leži u poslužiteljskom certifikatu koji služi za zatvaranje TLS tunela pri spajanju. Ukoliko se korisnici Windows 8 operacijskog sustava ne mogu spojiti na eduroam pomoću programske podrške preuzete sa eduroam installer usluge, poslužiteljski certifikat nema odsječak koji govori Windows 8 operacijskim sustavima da se radi upravo o certifikatu namijenjenom za EAP-TLS te ga zato odbijaju. Detaljan opis problema dan je na Microsoftovoj stranici. Da biste omogućili spajanje Windows 8 korisnika dovoljno je ponovno generirati poslužiteljski certifikat prema uputama na stranici Kako prilagoditi installer.eduroam.hr uslugu za Windows 8 operacijski sustav?
• • • .

Anchor
ei207 ei207

ei207 - Serverski certifikat nema podršku za Android 11+ operativni sustav (SAN zapis)

...

 →

Status
colour Yellow title Issue

• • Razlog: Prilikom provjere serverskog certifikata koji koristi RADIUS servis utvrđeno je da ne sadrži potrebne metapodatke u obliku SAN što onemogućava autentikaciju na Android 11+ operativnim sustavima.
  Potrebno je generirati sustav certifikata prema uputama na web adresi
  • Moguća rješenja: 
    
    • obnova serverskog certifikata koji koristi RADIUS servis prema uputi na stranici Upute za upravljanje certifikatom (FreeRADIUS), odnosno ako koristite skriptu na
  • • https://
  wiki
  • • www.
  srce
  • • eduroam.hr/
  spaces/AAIUPUTE/pages/194296155/Generiranje+sustava+freeRADIUS+certifikata+root+RADIUS+certifikat
  • • server-certs samo korak 3.2
    • obnova sustava certifikata root CA i serverskog certifikat koji koristi RADIUS servis prema uputi na stranici Generiranje sustava freeRADIUS certifikata (root + RADIUS certifikat)
  jer trenutni RADIUS certifikat nema SAN atribut koji je potreban kod nekih uređaja za autentikaciju na eduroam usluzi
  • • .

Anchor
ei208 ei208

ei208 - Serverski certifikat ima drugačiji CN od zapisa u installer.eduroam.hr bazi  →

Status
colour Yellow title Issue

• • Razlog: Prilikom provjere serverskog certifikata koji koristi RADIUS servis utvrđeno je da CN zapis u certifikatu nema istu vrijednost s onom koja je zabilježena u sustavu https://installer.eduroam.hr/
  • Moguća rješenja: 
    • ispravak CN polja u sustavu https://installer.eduroam.hr/
    • obnova serverskog certifikata koji koristi RADIUS servis prema uputi na stranici Upute za upravljanje certifikatom (FreeRADIUS), odnosno ako koristite skriptu na https://www.eduroam.hr/server-certs samo korak 3.2

Anchor
ei209 ei209

ei209 -

...

Serverski certifikat ima prenizak kripto algoritam samo n bitova

...

 →

Status
colour Yellow title Issue

Zbog sigurnosnog problema ukoliko certifikat koristi nizak kriptografski algoritam, preporuka je prema uputama na adresi
• • Razlog: Prilikom provjere serverskog certifikata koji koristi RADIUS servis utvrđeno je da isti ima premali broj bitova u kripto algoritmu, što utječe na njegovu sigurnost.
  • Moguća rješenja: 
    
    • obnova serverskog certifikata koji koristi RADIUS servis prema uputi na stranici Upute za upravljanje certifikatom (FreeRADIUS), odnosno ako koristite skriptu na
• • • https://
wiki
• • • www.
srce
• • • eduroam.hr/
spaces/AAIUPUTE/pages/194296155/Generiranje+sustava+freeRADIUS+certifikata+root+RADIUS+certifikat
generirati novi root CA i serverski certifikat koji koristi sigurniji algoritam
• • • server-certs samo korak 3.2.

Anchor
ei210 ei210

ei210 -

...

Nedostupan serverski certifikat → 

Status
colour Red title ERROR

• • Razlog: sustav nadzora nije u mogućnosti dohvatiti serverski certifikat koji koristi RADIUS servis.
  • Moguća rješenja: 

    • Provjera rada RADIUS servisa na serveru

    • Provjera konfiguracije RADIUS servisa (preporučamo korištenje AAI@EduHr paketnih rješenja)

    • Provjera mrežne konfiguracije (nužna dostupnost s IP adresa 161.53.2.215-218)

    • Provjera statusa mrežne povezanosti servera na kojem se nalazi RADIUS servis.

Anchor
ei211 ei211

ei211 -

...

Nedostupan root CA certifikat →

Status
colour Yellow title Issue

• • Razlog: Komponenta nadzornog sustava je nedostupna.
  • Moguća rješenja: Pričekati da se sustav oporavi.

Anchor
ei212 ei212

ei212 -

...

Realm je u procesu registracije →

Status
colour Yellow title Issue

• • Razlog: Nova matična ustanova još nije prošla proces registracije, a nadzorni sustav je obavio nadzor.
  • Moguća rješenja: Pričekati da se proces registracije završi.

LDAP nadzorni sustav

Nadzor LDAP servisa obavljaju jedna nadzorna skripta koje provjerava funkcionalnost LDAP servisa i broja korisnika.

Nadzor rada (check_aai_ldap)

Anchor
li100 li100

li100 - OK! Anonymous bind successfull! → 

Status
colour Green title OK

• • Razlog: LDAP servis dostupan za matičnu ustanovu.

Anchor
li101 li101

li101 - Could not connect to → 

Status
colour Red title x

• • Razlog: Nemoguće je kontaktirati LDAP servis matične ustanove

  • Moguća rješenja:

Anchor
li102 li102

li102 - Socket to LDAP could not be established → 

Status
colour Red title x

• • Razlog: Nemoguće je uspostaviti vezu prema LDAP servisu matične ustanove

  • Moguća rješenja: 

Anchor
li103 li103

li103 - Could not bind as anonymous: →

Status
colour Yellow title Issue

• • Razlog: Nemoguće je ostvariti anonimni pristup na LDAP servis matične ustanove

  • Moguća rješenja: 

Broj korisnika (check_aai_ldap)

Anchor
li200 li200

li200 - OK! count successful: → 

Status
colour Green title OK

• • Razlog: Prebrojavanje korisnika je prošlo uspješno u LDAP imeniku matične ustanove s danim korisnikom.

Anchor
li201 li201

li201 - Could not count as →

Status
colour Yellow title Issue

• • Razlog: Nemoguće je prebrojati korisnike u LDAP imeniku kao dani korisnik

  • Moguća rješenja: 

Anchor
li202 li202

li202 - Could not bind as →

Status
colour Yellow title Issue

• • Razlog: Nemoguće se povezati s LDAP servisom matične ustanove kao dani korisnik

  • Moguća rješenja: 

AOSI nadzorni sustav

Nadzor AOSI servisa nadziru dvije nadzorne skripte koje provjeravaju funkcionalnost i dostupnost servisa.

Provjera servisa (check_aai_aosi.php)

Anchor
ai100 ai100

ai100 - OK! AOSI version →

Status
colour Green title OK

• • Razlog: AOSI servis matične ustanove je dostupan u ispisanoj verziji.

Anchor
ai101 ai101

ai101 - AOSI id:  inst_id:  doesn't exist.  →

Status
colour Yellow title Issue

• • Razlog:

  • Moguća rješenja: 

Anchor
ai102 ai102

ai102 - WSDL bez service loaction:  →

Status
colour Yellow title Issue

• • Razlog:

  • Moguća rješenja: 

Anchor
ai103 ai103

ai103 - Invalid host or port → 

Status
colour Red title x

• • Razlog:

  • Moguća rješenja: 

Anchor
ai104 ai104

ai104 - Couldn't connect to → 

Status
colour Red title x

• • Razlog: Nemoguće se povezati na AOSI servis matične ustanove s prikazanim parametrima.

  • Moguća rješenja: 

Dohvat podataka o paketima (check_aai_aosi.php)

Anchor
ai200 ai200

ai200 - OK! LDAP:  RADIUS:   AOSI:  OS:   TLS: →

Status
colour Green title OK

• • Razlog: Prilikom povezivanja na AOSI servis matične ustanove dobiveni su sljedeći podaci o instaliranim paketima i verziji TLS-a.

Provjera certifikata