O nadzoru

Sustav nadzora matičnih ustanova sastoji se od automatskog periodičkog nadzora rada servisa potrebnih za autentikaciju korisnika matične ustanove svim podržanim oblicima autentikacije.

Sustav nadzire RADIUS, LDAP i AOSI servise različitim metodama i postupcima.

Obavijesti nadzora

Sustav nadzora prilikom svog rada generira informacije i poruke vezane uz proces nadzora, te o pojedinim stanjima obavještava kontakt osobe na matičnoj ustanovi. Poruke koje sustav generira mogu se pronaći u nastavku, s objašnjenjem o čemu se radi, te eventualno potrebnim akcijama na strani matične ustanove.

RADIUS nadzorni sustavi

Nadzor RADIUS servisa obavljaju dvije nadzorne skripte koje provjeravaju funkcionalnost RADIUS servisa.

Nadzor rada (check_aai_radius)

Nadzor se sastoji od provjere odgovora RADIUS servisa na jednostavan RADIUS upit za autentikacijom. Očekuje se da na upit RADIUS servis odgovori s REJECT.

ei100 - OK

ei101 - Server je nedostupan

Nadzor cartifikata (aai_IdP_cert_check)

Nadzor se sastoji od dohvata serverskog certifikata koji poslužuje RADIUS servis za određeni IdP, njegove provjere, provjere root CA certifikata IdP-a zabilježenog na installer.eduroam.hr sustavu, te provjere usklađenosti serverskog i root CA certifikata.

ei200 - OK

ei201 - Serverski certifikat istječe za manje od 30 dana

ei202 - Serverski certifikat izvan vremenskog ograničenja

ei203 - Root CA certifikat istječe za manje od 30 dana

ei204 - Root CA certifika izvan vremenskog ograničenja

ei205 - Serverski certifikat nije potpisan s root CA certifikatom

Sustav nadzora eduroam usluge prikazuje da se na freeradius servisu i eduroam instralleru nalaze različiti certifikati, što se može provjeriti na web adresi;
http://www.eduroam.hr/home_inst_mon.php Moguće da je kod upgradea poslužitelja stari certifikat pregažen novim. U tom slučaju potrebno je vratiti stari sustav certifikata, ili novi certifikat postaviti u eduroam installer:

- Novi root CA možete postaviti kroz sučelje za postavljanje novog root CA koje se nalazi na adresi https://installer.eduroam.hr/index_adm.php
  Detaljne upute: https://wiki.srce.hr/spaces/AAIUPUTE/pages/76153204/Kako+korisnicima+omogu%C4%87iti+spajanje+na+eduroam
  Nakon što postavite novi root CA potrebno je poslati obavijesti na e-mail eduroam@srce.hr kako bismo provjerili je li sve u redu. Korisnike koji koriste eduroam uslugu potrebno je obavijestiti da rekonfiguriraju uređaje novim installerom u kojem se nalazi novi root CA (https://installer.eduroam.hr/)
- Ako ste radili nadogradnju sustava trebalo bi odraditi korake sa sljedećeg linka kako bi vratili stari sustav certifikata na novu instalaciju freeradius servisa.
  https://www.aaiedu.hr/za-maticne-ustanove/cesto-postavljana-pitanja/nadogradnja-freeradius-servisa-debian-stretch

ei206 - Serverski certifikat nema podršku za Microsoft Windows 8+ operativni sustav

- Problem sa Windows 8 operacijskim sustavom leži u poslužiteljskom certifikatu koji služi za zatvaranje TLS tunela pri spajanju. Ukoliko se korisnici Windows 8 operacijskog sustava ne mogu spojiti na eduroam pomoću programske podrške preuzete sa eduroam installer usluge, poslužiteljski certifikat nema odsječak koji govori Windows 8 operacijskim sustavima da se radi upravo o certifikatu namijenjenom za EAP-TLS te ga zato odbijaju. Detaljan opis problema dan je na Microsoftovoj stranici. Da biste omogućili spajanje Windows 8 korisnika dovoljno je ponovno generirati poslužiteljski certifikat prema uputama na stranici Kako prilagoditi installer.eduroam.hr uslugu za Windows 8 operacijski sustav?.

ei207 - Serverski certifikat nema podršku za Android 11+ operativni sustav (SAN zapis)

- Potrebno je generirati sustav certifikata prema uputama na web adresi https://wiki.srce.hr/spaces/AAIUPUTE/pages/194296155/Generiranje+sustava+freeRADIUS+certifikata+root+RADIUS+certifikat jer trenutni RADIUS certifikat nema SAN atribut koji je potreban kod nekih uređaja za autentikaciju na eduroam usluzi.