...

O nadzoru

Sustav nadzora matičnih ustanova  ustanova sastoji se od automatskog periodičkog nadzora rada servisa potrebnih za autentikaciju korisnika matične ustanove svim podržanim oblicima autentikacije.

Sustav nadzire RADIUS, LDAP i AOSI servise različitim metodama i postupcima. 

Samoprovjera nadzora

Kroz sučelje Administracija AAI@EduHr na adresi https://administracija.aaiedu.hr moguće je pokrenuti nadzorne sustave u svrhu provjere u realnom vremenu klikom na oznaku Image Added pored datuma provjere.

Image Added

Pristup sučelju Administracija AAI@EduHr dozvoljen je imenovanim odgovornim osobama za AAI@EduHr .

Obavijesti nadzora

Sustav nadzora prilikom svog rada generira informacije i poruke vezane uz proces nadzora , te o pojedinim stanjima obavještava kontakt osobe na matičnoj ustanovi. Poruke koje sustav generira mogu se pronaći u nastavku, s objašnjenjem o čemu se radi, te eventualno potrebnim akcijama na strani matične ustanove. Pripadajući status pored naziva poruke sugeriraju:

RADIUS nadzorni sustavi

Nadzor RADIUS servisa obavljaju dvije nadzorne skripte koje provjeravaju funkcionalnost RADIUS servisa. 

...

Nadzor se sastoji od provjere odgovora RADIUS servisa na jednostavan RADIUS upit za autentikacijom. Očekuje se da na upit RADIUS servis odgovori s REJECT.

Anchor
ei100 ei100

...

ei100 - OK → 

Status
colour Green title ok

• • Razlog: RADIUS servis ustanove radi ispravno i dostupan je sustavu nadzora.

Anchor
ei101 ei101

ei101 -

...

Server je nedostupan → 

Status
colour Red title x

• • Razlog: Sustav nadzora prikazuje nedostupnost RADIUS servisa što može biti rezultat neispravnog rada RADIUS servisa i/ili mrežne nedostupnosti.
  • Moguća rješenja:
    • Provjera rada RADIUS servisa na serveru
    • Provjera konfiguracije RADIUS servisa (preporučamo korištenje AAI@EduHr paketnih rješenja)
    • Provjera mrežne konfiguracije (nužna dostupnost s IP adresa 161.53.2.215-218)
    • Provjera statusa mrežne povezanosti servera na kojem se nalazi RADIUS servis.

Nadzor certifikata (aai_IdP_cert_check)

Nadzor se sastoji od dohvata serverskog certifikata koji poslužuje RADIUS servis za određeni IdP, njegove provjere, provjere root CA certifikata IdP-a zabilježenog na installer.eduroam.hr sustavu , te provjere usklađenosti serverskog i root CA certifikata.

Anchor
ei200

...

ei200

ei200 - OK → 

Status
colour Green title OK

• • Razlog: Serverski certifikat kojeg koristi RADIUS servis je dostupan i ispravan prema podacima dostupnim za matičnu ustanovu.

Anchor
ei201 ei201

ei201 -

...

Serverski certifikat istječe za manje od 30 dana →

Status
colour Yellow title Issue

• • Razlog: Provjerom serverskog certifikata koji koristi RADIUS servis utvrđeno je kako isti prestaje biti validan za manje od 30 dana.
  • Moguća rješenja: 

  ei202 - Serverski certifikat izvan vremenskog ograničenja

  • • • Potrebno je obnoviti serverski certifikat koji koristi RADIUS servis

      • Uputu za rad s serverskim certifikatom za RADIUS servis možete pronaći na stranici Upute za upravljanje certifikatom (FreeRADIUS)
        
      • Ako koristite skriptu na https://www.eduroam.hr/server-certs/ obavite samo korak 3.2.

  Anchor
  ei202 ei202

  ei202 - Serverski certifikat izvan vremenskog ograničenja → 

  Status
  colour Red title ISSUE

  • • Razlog: Provjerom serverskog certifikata koji koristi RADIUS servis utvrđeno je kako isti nije validan jer vremenski period za koji vrijedi ne uključuje dan provjere.

    • Moguća rješenja: 

      • Potrebno je obnoviti serverski certifikat koji koristi RADIUS servis

      • Uputu za rad s serverskim certifikatom za RADIUS servis možete pronaći na stranici Upute za upravljanje certifikatom (FreeRADIUS)
        
      • Ako koristite skriptu na https://www.eduroam.hr/server-certs/ obavite samo korak 3.2.

  Anchor
  ei203 ei203

  ei203 - Root

  ...

  CA certifikat istječe za manje od 30 dana →

  Status
  colour Yellow title Issue

  • • Razlog: Provjerom root certifikata koji koristi RADIUS servis utvrđeno je kako isti prestaje biti validan za manje od 30 dana.
    • Moguća rješenja: 

      • Potrebno je obnoviti root CA certifikat i serverski certifikat koji koristi RADIUS servis

      • Upute za obnovu sustava certifikata nalaze se na stranici Generiranje sustava freeRADIUS certifikata (root + RADIUS certifikat).

  Anchor
  ei204 ei204

  ei204 -

  ...

  Root CA

  ...

  certifikat izvan vremenskog ograničenja → 

  Status
  colour Red title ISSUE

  • • Razlog: Provjerom root certifikata koji koristi RADIUS servis utvrđeno je kako isti nije validan jer vremenski period za koji vrijedi ne uključuje dan provjere.
    • Moguća rješenja: 

      • Potrebno je obnoviti root CA certifikat i serverski certifikat koji koristi RADIUS servis

      • Upute za obnovu sustava certifikata nalaze se na stranici Generiranje sustava freeRADIUS certifikata (root + RADIUS certifikat).

  Anchor
  ei205 ei205

  ei205  - Serverski certifikat nije potpisan s root CA certifikatom

  ...

   → 

  Status
  colour Red title ISSUE

  • Nadzor provjerava root CA koji je postavljen  u konfiguraciji installera i certifikat RADIUS servisa  na poslužitelju ustanove. Za ispravak ove pogreške potrebno je u konfiguraciju eduroam installera  postaviti novi root CA.  Sučelje za postavljanje novog root CA nalazi se na web adresi:
    • Razlog: Serverski certifikat RADIUS servisa i root certifikat RADIUS servisa koji je zapisan na https://installer.eduroam.hr/ prilikom provjere potpisivanja ne odgovaraju zbog mogućih razloga : 
      • napravljen je novi root CA i prijavljen na
    • • https://installer.eduroam.hr
    /index_adm.php
    Detaljne upute: 
    • • , ali nije zamijenjen serverski certifikat RADIUS servisa
      • izrađen je novi sustav certifikata root CA i serverski certifikat, no root CA nije prijavljen na https://
    wiki
    • • installer.
    srce da  rekonfiguriraju uređaje novim installerom u kojem se nalazi novi root CA (
    • • eduroam.hr
    /spaces/AAIUPUTE/pages/76153204/Kako+korisnicima+omogu%C4%87iti+spajanje+na+eduroam
    Nakon što postavite novi root CA potrebno je poslati obavijesti na e-mail eduroam@srce.hr kako bismo provjerili je li sve u redu. Korisnike koji koriste eduroam uslugu potrebno je obavijestiti
    • • izrađen je novi sustav certifikata root CA i serverski certifikat, no nije restartan RADIUS servis
      • prošao je prekratki period (min 3 sata) od prijave root CA certifikata u https://installer.eduroam.hr/ i izvršene provjere
      • povratak prijašnjeg serverskog certifikata koji nije potpisan s root CA certifikatom koji se nalazi na
    • • https://installer.eduroam.hr/.
    • Moguća rješenja:
      • Ako je generiran novi root CA i serverski certifikat potrebno je slijediti uputu Generiranje sustava freeRADIUS certifikata (root + RADIUS certifikat)
        
      • Provjeru sustava certifikata moguće je napraviti na samom serveru koristeći se uputom na stranici Upute za upravljanje certifikatom (FreeRADIUS).
        

  Anchor
  ei206 ei206

  ei206 - Serverski certifikat nema podršku za Microsoft Windows 8+ operativni sustav

  ...

  →

  Status
  colour Yellow title Issue

  • • Razlog: Prilikom provjere serverskog certifikata koji koristi RADIUS servis utvrđeno je da isti ne sadrži odgovarajuće metapodatke da bi mogao raditi s Microsoft Windows 8+ operacijskim sustavima. Više možete pročitati na Microsoftovoj stranici.
    • Moguća rješenja: 
      
      • obnova serverskog certifikata koji koristi RADIUS servis prema uputi na stranici Upute za upravljanje certifikatom (FreeRADIUS), odnosno ako koristite skriptu na https://www.eduroam.hr/server-certs samo korak 3.2
      • obnova sustava certifikata - root CA i serverskog certifikata koji koristi RADIUS servis prema uputi na stranici Generiranje sustava freeRADIUS certifikata (root + RADIUS certifikat).

  Anchor
  ei207 ei207

  ei207 - Serverski certifikat nema podršku za Android 11+ operativni sustav (SAN zapis) →

  Status
  colour Yellow title Issue

  • • Razlog: Prilikom provjere serverskog certifikata koji koristi RADIUS servis utvrđeno je da ne sadrži potrebne metapodatke u obliku SAN što onemogućava autentikaciju na Android 11+ operativnim sustavima.
    • Moguća rješenja: 
      
      • obnova serverskog certifikata koji koristi RADIUS servis prema uputi na stranici Upute za upravljanje certifikatom (FreeRADIUS), odnosno ako koristite skriptu na https://www.eduroam.hr/server-certs samo korak 3.2
      • obnova sustava certifikata root CA i serverskog certifikat koji koristi RADIUS servis prema uputi na stranici Generiranje sustava freeRADIUS certifikata (root + RADIUS certifikat).

  Anchor
  ei208 ei208

  ei208 - Serverski certifikat ima drugačiji CN od zapisa u installer.eduroam.hr bazi  →

  Status
  colour Yellow title Issue

  • • Razlog: Prilikom provjere serverskog certifikata koji koristi RADIUS servis utvrđeno je da CN zapis u certifikatu nema istu vrijednost s onom koja je zabilježena u sustavu https://installer.eduroam.hr/
    • Moguća rješenja: 
      • ispravak CN polja u sustavu https://installer.eduroam.hr/
      • obnova serverskog certifikata koji koristi RADIUS servis prema uputi na stranici Upute za upravljanje certifikatom (FreeRADIUS), odnosno ako koristite skriptu na https://www.eduroam.hr/server-certs samo korak 3.2

  Anchor
  ei209 ei209

  ei209 -

  ...

  Serverski certifikat ima prenizak kripto algoritam samo n bitova  →

  Status
  colour Yellow title Issue

  • • Razlog: Prilikom provjere serverskog certifikata koji koristi RADIUS servis utvrđeno je da isti ima premali broj bitova u kripto algoritmu, što utječe na njegovu sigurnost.
    • Moguća rješenja: 
      
      • obnova serverskog certifikata koji koristi RADIUS servis prema uputi na stranici Upute za upravljanje certifikatom (FreeRADIUS), odnosno ako koristite skriptu na https://www.eduroam.hr/server-certs samo korak 3.2.

  Anchor
  ei210 ei210

  ...

  ei211 - Nedostupan root CA certifikat

  ei210 - Nedostupan serverski certifikat → 

  Status
  colour Red title ERROR

  • • Razlog: sustav nadzora nije u mogućnosti dohvatiti serverski certifikat koji koristi RADIUS servis.
    • Moguća rješenja: 

      • Provjera rada RADIUS servisa na serveru

      • Provjera konfiguracije RADIUS servisa (preporučamo korištenje AAI@EduHr paketnih rješenja)

      • Provjera mrežne konfiguracije (nužna dostupnost s IP adresa 161.53.2.215-218)

      • Provjera statusa mrežne povezanosti servera na kojem se nalazi RADIUS servis.

  Anchor
  ei211 ei211

  ei211 - Nedostupan root CA certifikat →

  Status
  colour Yellow title Issue

  • • Razlog: Komponenta nadzornog sustava je nedostupna.
    • Moguća rješenja: Pričekati da se sustav oporavi.

  Anchor
  ei212 ei212

  ei212 - Realm je u procesu registracije →

  Status
  colour Yellow title Issue

  • • Razlog: Nova matična ustanova još nije prošla proces registracije, a nadzorni sustav je obavio nadzor.
    • Moguća rješenja: Pričekati da se proces registracije završi.

  LDAP nadzorni sustav

  Nadzor LDAP servisa obavljaju jedna nadzorna skripta koje provjerava funkcionalnost LDAP servisa i broja korisnika.

  Nadzor rada (check_aai_ldap)

  Anchor
  li100 li100

  li100 - OK! Anonymous bind successfull! → 

  Status
  colour Green title OK

  • • Razlog: LDAP servis dostupan za matičnu ustanovu.

  Anchor
  li101 li101

  li101 - Could not connect to → 

  Status
  colour Red title x

  • • Razlog: Nemoguće je kontaktirati LDAP servis matične ustanove

    • Moguća rješenja:

  Anchor
  li102 li102

  li102 - Socket to LDAP could not be established → 

  Status
  colour Red title x

  • • Razlog: Nemoguće je uspostaviti vezu prema LDAP servisu matične ustanove

    • Moguća rješenja: 

  Anchor
  li103 li103

  li103 - Could not bind as anonymous: →

  Status
  colour Yellow title Issue

  • • Razlog: Nemoguće je ostvariti anonimni pristup na LDAP servis matične ustanove

    • Moguća rješenja: 

  Broj korisnika (check_aai_ldap)

  Anchor
  li200 li200

  li200 - OK! count successful: → 

  Status
  colour Green title OK

  • • Razlog: Prebrojavanje korisnika je prošlo uspješno u LDAP imeniku matične ustanove s danim korisnikom.

  Anchor
  li201 li201

  li201 - Could not count as →

  Status
  colour Yellow title Issue

  • • Razlog: Nemoguće je prebrojati korisnike u LDAP imeniku kao dani korisnik

    • Moguća rješenja: 

  Anchor
  li202 li202

  li202 - Could not bind as →

  Status
  colour Yellow title Issue

  • • Razlog: Nemoguće se povezati s LDAP servisom matične ustanove kao dani korisnik

    • Moguća rješenja: 

  AOSI nadzorni sustav

  Nadzor AOSI servisa nadziru dvije nadzorne skripte koje provjeravaju funkcionalnost i dostupnost servisa.

  Provjera servisa (check_aai_aosi.php)

  Anchor
  ai100 ai100

  ai100 - OK! AOSI version →

  Status
  colour Green title OK

  • • Razlog: AOSI servis matične ustanove je dostupan u ispisanoj verziji.

  Anchor
  ai101 ai101

  ai101 - AOSI id:  inst_id:  doesn't exist.  →

  Status
  colour Yellow title Issue

  • • Razlog:

    • Moguća rješenja: 

  Anchor
  ai102 ai102

  ai102 - WSDL bez service loaction:  →

  Status
  colour Yellow title Issue

  • • Razlog:

    • Moguća rješenja: 

  Anchor
  ai103 ai103

  ai103 - Invalid host or port → 

  Status
  colour Red title x

  • • Razlog:

    • Moguća rješenja: 

  Anchor
  ai104 ai104

  ai104 - Couldn't connect to → 

  Status
  colour Red title x

  • • Razlog: Nemoguće se povezati na AOSI servis matične ustanove s prikazanim parametrima.

    • Moguća rješenja: 

  Dohvat podataka o paketima (check_aai_aosi.php)

  Anchor
  ai200 ai200

  ai200 - OK! LDAP:  RADIUS:   AOSI:  OS:   TLS: →

  Status
  colour Green title OK

  • • Razlog: Prilikom povezivanja na AOSI servis matične ustanove dobiveni su sljedeći podaci o instaliranim paketima i verziji TLS-a.

  Provjera certifikata

  ...