...

O nadzoru

Sustav nadzora matičnih ustanova  ustanova sastoji se od automatskog periodičkog nadzora rada servisa potrebnih za autentikaciju korisnika matične ustanove svim podržanim oblicima autentikacije.

Sustav nadzire RADIUS, LDAP i AOSI servise različitim metodama i postupcima. 

Samoprovjera nadzora

Kroz sučelje Administracija AAI@EduHr na adresi https://administracija.aaiedu.hr moguće je pokrenuti nadzorne sustave u svrhu provjere u realnom vremenu klikom na oznaku Image Added pored datuma provjere.

Image Added

Pristup sučelju Administracija AAI@EduHr dozvoljen je imenovanim odgovornim osobama za AAI@EduHr .

Obavijesti nadzora

Sustav nadzora prilikom svog rada generira informacije i poruke vezane uz proces nadzora , te o pojedinim stanjima obavještava kontakt osobe na matičnoj ustanovi. Poruke koje sustav generira mogu se pronaći u nastavku, s objašnjenjem o čemu se radi, te eventualno potrebnim akcijama na strani matične ustanove. Pripadajući status pored naziva poruke sugeriraju:

RADIUS nadzorni sustavi

Nadzor RADIUS servisa obavljaju dvije nadzorne skripte koje provjeravaju funkcionalnost RADIUS servisa. 

...

Nadzor se sastoji od provjere odgovora RADIUS servisa na jednostavan RADIUS upit za autentikacijom. Očekuje se da na upit RADIUS servis odgovori s REJECT.

Anchor
ei100 ei100

...

ei100 - OK → 

Status
colour Green title ok

• • Razlog: RADIUS servis ustanove radi ispravno i dostupan je sustavu nadzora.

Anchor
ei101 ei101

ei101 -

...

Server je nedostupan → 

Status
colour Red title x

• • Razlog: Sustav nadzora prikazuje nedostupnost RADIUS servisa što može biti rezultat neispravnog rada RADIUS servisa i/ili mrežne nedostupnosti.
  • Moguća rješenja:
    • Provjera rada RADIUS servisa na serveru
    • Provjera konfiguracije RADIUS servisa (preporučamo korištenje AAI@EduHr paketnih rješenja)
    • Provjera mrežne konfiguracije (nužna dostupnost s IP adresa 161.53.2.215-218)
    • Provjera statusa mrežne povezanosti servera na kojem se nalazi RADIUS servis.

Nadzor certifikata (aai_IdP_cert_check)

Nadzor se sastoji od dohvata serverskog certifikata koji poslužuje RADIUS servis za određeni IdP, njegove provjere, provjere root CA certifikata IdP-a zabilježenog na installer.eduroam.hr sustavu , te provjere usklađenosti serverskog i root CA certifikata.

Anchor
ei200

...

ei200

ei200 - OK → 

Status
colour Green title OK

• • Razlog: Serverski certifikat kojeg koristi RADIUS servis je dostupan i ispravan prema podacima dostupnim za matičnu ustanovu.

Anchor
ei201 ei201

ei201 -

...

Serverski certifikat istječe za manje od 30 dana →

Status
colour Yellow title Issue

• • Razlog: Provjerom serverskog certifikata koji koristi RADIUS servis utvrđeno je kako isti prestaje biti validan za manje od 30 dana.
  • Moguća rješenja: 

    • Potrebno je obnoviti serverski certifikat koji koristi RADIUS servis

    • Uputu za rad s serverskim certifikatom za RADIUS servis možete pronaći na stranici Upute za upravljanje certifikatom (FreeRADIUS)
      
    • Ako koristite skriptu na https://www.eduroam.hr/server-certs/ obavite samo korak 3.2.

Anchor
ei202 ei202

ei202 -

...

Serverski certifikat izvan vremenskog ograničenja → 

Status
colour Red title ISSUE

• • Razlog: Provjerom serverskog certifikata koji koristi RADIUS servis utvrđeno je kako isti nije validan jer vremenski period za koji vrijedi ne uključuje dan provjere.

  • Moguća rješenja: 

    • Potrebno je obnoviti serverski certifikat koji koristi RADIUS servis

    • Uputu za rad s serverskim certifikatom za RADIUS servis možete pronaći na stranici Upute za upravljanje certifikatom (FreeRADIUS)
      
    • Ako koristite skriptu na https://www.eduroam.hr/server-certs/ obavite samo korak 3.2.

Anchor
ei203 ei203

ei203 - Root CA certifikat istječe za manje od 30 dana →

Status
colour Yellow title Issue

• • Razlog: Provjerom root certifikata koji koristi RADIUS servis utvrđeno je kako isti prestaje biti validan za manje od 30 dana.
  • Moguća rješenja: 

    • Potrebno je obnoviti root CA certifikat i serverski certifikat koji koristi RADIUS servis

    • Upute za obnovu sustava certifikata nalaze se na stranici Generiranje sustava freeRADIUS certifikata (root + RADIUS certifikat).

Anchor
ei204 ei204

ei204 -

...

Root CA

...

certifikat izvan vremenskog ograničenja → 

Status
colour Red title ISSUE

• • Razlog: Provjerom root certifikata koji koristi RADIUS servis utvrđeno je kako isti nije validan jer vremenski period za koji vrijedi ne uključuje dan provjere.
  • Moguća rješenja: 

    • Potrebno je obnoviti root CA certifikat i serverski certifikat koji koristi RADIUS servis

    • Upute za obnovu sustava certifikata nalaze se na stranici Generiranje sustava freeRADIUS certifikata (root + RADIUS certifikat).

Anchor
ei205 ei205

ei205  - Serverski certifikat nije potpisan s root CA certifikatom

...

 → 

Status
colour Red title ISSUE

• • Razlog: Serverski certifikat RADIUS servisa i root certifikat RADIUS servisa koji je zapisan na https://installer.eduroam.hr/ prilikom provjere potpisivanja ne odgovaraju zbog mogućih razloga : 
    • napravljen je novi root CA i prijavljen na https://installer.eduroam.hr, ali nije zamijenjen serverski certifikat RADIUS servisa
    • izrađen je novi sustav certifikata root CA i serverski certifikat, no root CA nije prijavljen na

Sustav nadzora eduroam usluge prikazuje da se na freeradius servisu i eduroam instralleru nalaze različiti certifikati, što se može provjeriti na web adresi;
http://www.eduroam.hr/home_inst_mon.php Moguće da je kod upgradea poslužitelja stari certifikat pregažen novim. U tom slučaju potrebno je vratiti stari sustav certifikata, ili novi certifikat postaviti  u eduroam installer:

• Novi root CA možete postaviti kroz sučelje za postavljanje novog root CA koje se nalazi na adresi
  • • https://installer.eduroam.hr
  /index_adm.php
  Detaljne upute: 
  • • izrađen je novi sustav certifikata root CA i serverski certifikat, no nije restartan RADIUS servis
    • prošao je prekratki period (min 3 sata) od prijave root CA certifikata u https://
  wiki
  • • installer.
  srce
  Nakon što postavite novi root CA potrebno je poslati obavijesti na e-mail eduroam@srce.hr kako bismo provjerili je li sve u redu. Korisnike koji koriste eduroam uslugu potrebno je obavijestiti da  rekonfiguriraju uređaje novim installerom u kojem se nalazi novi root CA (
  • • eduroam.hr/
  spaces/AAIUPUTE/pages/76153204/Kako+korisnicima+omogu%C4%87iti+spajanje+na+eduroam
  • • i izvršene provjere
    • povratak prijašnjeg serverskog certifikata koji nije potpisan s root CA certifikatom koji se nalazi na
  • • https://installer.eduroam.hr/
  )Ako ste  radili nadogradnju sustava trebalo bi odraditi  korake sa sljedećeg linka kako bi vratili stari sustav certifikata na novu instalaciju freeradius servisa.
  https://www.aaiedu.hr/za-maticne-ustanove/cesto-postavljana-pitanja/nadogradnja-freeradius-servisa-debian-stretch
  • • .
  • Moguća rješenja:
    • Ako je generiran novi root CA i serverski certifikat potrebno je slijediti uputu Generiranje sustava freeRADIUS certifikata (root + RADIUS certifikat)
      
    • Provjeru sustava certifikata moguće je napraviti na samom serveru koristeći se uputom na stranici Upute za upravljanje certifikatom (FreeRADIUS).
      

Anchor
ei206 ei206

ei206 - Serverski certifikat nema podršku za Microsoft Windows 8+ operativni sustav

...

→

Status
colour Yellow title Issue

• • Razlog: Prilikom provjere serverskog certifikata koji koristi RADIUS servis utvrđeno je da isti ne sadrži odgovarajuće metapodatke da bi mogao raditi s Microsoft Windows 8+ operacijskim sustavima. Više možete pročitati na Microsoftovoj stranici.
  • Moguća rješenja: 
    
    • obnova serverskog certifikata koji koristi RADIUS servis prema uputi na stranici Upute za upravljanje certifikatom (FreeRADIUS), odnosno ako koristite skriptu na https://www.eduroam.hr/server-certs samo korak 3.2
    • obnova sustava certifikata - root CA i serverskog certifikata koji koristi RADIUS servis prema uputi na stranici Generiranje sustava freeRADIUS certifikata (root + RADIUS certifikat).

Anchor
ei207 ei207

ei207 - Serverski certifikat nema podršku za Android 11+ operativni sustav (SAN zapis)

...

 →

Status
colour Yellow title Issue

Potrebno je generirati sustav certifikata prema uputama na web adresi
• • Razlog: Prilikom provjere serverskog certifikata koji koristi RADIUS servis utvrđeno je da ne sadrži potrebne metapodatke u obliku SAN što onemogućava autentikaciju na Android 11+ operativnim sustavima.
  • Moguća rješenja: 
    
    • obnova serverskog certifikata koji koristi RADIUS servis prema uputi na stranici Upute za upravljanje certifikatom (FreeRADIUS), odnosno ako koristite skriptu na
• • • https://
wiki
• • • www.
srce
• • • eduroam.hr/
spaces/AAIUPUTE/pages/194296155/Generiranje+sustava+freeRADIUS+certifikata+root+RADIUS+certifikat jer trenutni RADIUS certifikat nema SAN atribut koji je potreban kod nekih uređaja za autentikaciju na eduroam usluzi.

...

• • • server-certs samo korak 3.2
    • obnova sustava certifikata root CA i serverskog certifikat koji koristi RADIUS servis prema uputi na stranici Generiranje sustava freeRADIUS certifikata (root + RADIUS certifikat).

Anchor
ei208 ei208

ei208 - Serverski certifikat ima drugačiji CN od zapisa u installer.eduroam.hr bazi  →

Status
colour Yellow title Issue

• • Razlog: Prilikom provjere serverskog certifikata koji koristi RADIUS servis utvrđeno je da CN zapis u certifikatu nema istu vrijednost s onom koja je zabilježena u sustavu https://installer.eduroam.hr/
  • Moguća rješenja: 
    • ispravak CN polja u sustavu https://installer.eduroam.hr/
    • obnova serverskog certifikata koji koristi RADIUS servis prema uputi na stranici Upute za upravljanje certifikatom (FreeRADIUS), odnosno ako koristite skriptu na https://www.eduroam.hr/server-certs samo korak 3.2

Anchor
ei209 ei209

ei209 -

...

Serverski certifikat ima prenizak kripto algoritam samo n bitova  →

Status
colour Yellow title Issue

• • Razlog: Prilikom provjere serverskog certifikata koji koristi RADIUS servis utvrđeno je da isti ima premali broj bitova

...

• • u kripto algoritmu, što utječe na njegovu sigurnost.
  • Moguća rješenja: 
    
    • obnova serverskog certifikata koji koristi RADIUS servis prema uputi na stranici Upute za upravljanje certifikatom (FreeRADIUS), odnosno ako koristite skriptu na https://www.eduroam.hr/server-certs samo korak 3.2.

Anchor
ei210 ei210

ei210 - Nedostupan serverski certifikat → 

Status
colour Red title ERROR

• • Razlog: sustav nadzora nije u mogućnosti dohvatiti serverski certifikat koji koristi RADIUS servis.
  • Moguća rješenja: 

    • Provjera rada RADIUS servisa na serveru

    • Provjera konfiguracije RADIUS servisa (preporučamo korištenje AAI@EduHr paketnih rješenja)

    • Provjera mrežne konfiguracije (nužna dostupnost s IP adresa 161.53.2.215-218)

    • Provjera statusa mrežne povezanosti servera na kojem se nalazi RADIUS servis.

Anchor
ei211 ei211

ei211 - Nedostupan root CA certifikat →

Status
colour Yellow title Issue

• • Razlog: Komponenta nadzornog sustava je nedostupna.
  • Moguća rješenja: Pričekati da se sustav oporavi.

ei210 - Nedostupan serverski certifikat

...

Anchor
ei212 ei212

ei212 -

...

Realm je u procesu registracije →

Status
colour Yellow title Issue

• • Razlog: Nova matična ustanova još nije prošla proces registracije, a nadzorni sustav je obavio nadzor.
  • Moguća rješenja: Pričekati da se proces registracije završi.

LDAP nadzorni sustav

Nadzor LDAP servisa obavljaju jedna nadzorna skripta koje provjerava funkcionalnost LDAP servisa i broja korisnika.

Nadzor rada (check_aai_ldap)

Anchor
li100 li100

li100 - OK! Anonymous bind successfull! → 

Status
colour Green title OK

• • Razlog: LDAP servis dostupan za matičnu ustanovu.

Anchor
li101 li101

li101 - Could not connect to → 

Status
colour Red title x

• • Razlog: Nemoguće je kontaktirati LDAP servis matične ustanove

  • Moguća rješenja:

Anchor
li102 li102

li102 - Socket to LDAP could not be established → 

Status
colour Red title x

• • Razlog: Nemoguće je uspostaviti vezu prema LDAP servisu matične ustanove

  • Moguća rješenja: 

Anchor
li103 li103

li103 - Could not bind as anonymous: →

Status
colour Yellow title Issue

• • Razlog: Nemoguće je ostvariti anonimni pristup na LDAP servis matične ustanove

  • Moguća rješenja: 

Broj korisnika (check_aai_ldap)

Anchor
li200 li200

li200 - OK! count successful: → 

Status
colour Green title OK

• • Razlog: Prebrojavanje korisnika je prošlo uspješno u LDAP imeniku matične ustanove s danim korisnikom.

Anchor
li201 li201

li201 - Could not count as →

Status
colour Yellow title Issue

• • Razlog: Nemoguće je prebrojati korisnike u LDAP imeniku kao dani korisnik

  • Moguća rješenja: 

Anchor
li202 li202

li202 - Could not bind as →

Status
colour Yellow title Issue

• • Razlog: Nemoguće se povezati s LDAP servisom matične ustanove kao dani korisnik

  • Moguća rješenja: 

AOSI nadzorni sustav

Nadzor AOSI servisa nadziru dvije nadzorne skripte koje provjeravaju funkcionalnost i dostupnost servisa.

Provjera servisa (check_aai_aosi.php)

Anchor
ai100 ai100

ai100 - OK! AOSI version →

Status
colour Green title OK

• • Razlog: AOSI servis matične ustanove je dostupan u ispisanoj verziji.

Anchor
ai101 ai101

ai101 - AOSI id:  inst_id:  doesn't exist.  →

Status
colour Yellow title Issue

• • Razlog:

  • Moguća rješenja: 

Anchor
ai102 ai102

ai102 - WSDL bez service loaction:  →

Status
colour Yellow title Issue

• • Razlog:

  • Moguća rješenja: 

Anchor
ai103 ai103

ai103 - Invalid host or port → 

Status
colour Red title x

• • Razlog:

  • Moguća rješenja: 

Anchor
ai104 ai104

ai104 - Couldn't connect to → 

Status
colour Red title x

• • Razlog: Nemoguće se povezati na AOSI servis matične ustanove s prikazanim parametrima.

  • Moguća rješenja: 

Dohvat podataka o paketima (check_aai_aosi.php)

Anchor
ai200 ai200

ai200 - OK! LDAP:  RADIUS:   AOSI:  OS:   TLS: →

Status
colour Green title OK

• • Razlog: Prilikom povezivanja na AOSI servis matične ustanove dobiveni su sljedeći podaci o instaliranim paketima i verziji TLS-a.

Provjera certifikata