O nadzoru

Sustav nadzora matičnih ustanova  sastoji se od automatskog periodičkog nadzora rada servisa potrebnih za autentikaciju korisnika matične ustanove svim podržanim oblicima autentikacije.

Sustav nadzire RADIUS, LDAP i AOSI servise različitim metodama i postupcima. 

Samoprovjera nadzora

Kroz sučelje Administracija AAI@EduHr na adresi https://administracija.aaiedu.hr moguće je pokrenuti nadzorne sustave u svrhu provjere u realnom vremenu klikom na oznaku pored datuma provjere.

Pristup sučelju Administracija AAI@EduHr dozvoljen je imenovanim odgovornim osobama za AAI@EduHr .

Obavijesti nadzora

Sustav nadzora prilikom svog rada generira informacije i poruke vezane uz proces nadzora, te o pojedinim stanjima obavještava kontakt osobe na matičnoj ustanovi. Poruke koje sustav generira mogu se pronaći u nastavku, s objašnjenjem o čemu se radi, te eventualno potrebnim akcijama na strani matične ustanove.

RADIUS nadzorni sustavi

Nadzor RADIUS servisa obavljaju dvije nadzorne skripte koje provjeravaju funkcionalnost RADIUS servisa. 

Nadzor rada (check_aai_radius)

Nadzor se sastoji od provjere odgovora RADIUS servisa na jednostavan RADIUS upit za autentikacijom. Očekuje se da na upit RADIUS servis odgovori s REJECT.

ei100 - OK

Razlog: RADIUS servis ustanove radi ispravno i dostupan je sustavu nadzora.

ei101 - Server je nedostupan

Razlog: Sustav nadzora prikazuje nedostupnost  RADIUS servisa što može biti rezultat neispravnog rada RADIUS servisa i/ili mrežne nedostupnost.

Moguća rješenja:

• Provjera rada RADIUS servisa na serveru
• Provjera konfiguracije RADIUS servisa (preporučamo korištenje AAI@EduHr paktenih rješenja)
• Provjera mrežne konfiguracije (nužna dostupnost s IP adresa 161.53.2.215-218)
• Provjera statusa mrežne povezanosti servera na kojem se nalazi RADIUS servis

Nadzor cartifikata (aai_IdP_cert_check)

Nadzor se sastoji od dohvata serverskog certifikata koji poslužuje RADIUS servis za određeni IdP, njegove provjere, provjere root CA certifikata IdP-a zabilježenog na installer.eduroam.hr sustavu, te provjere usklađenosti serverskog i root CA certifikata.

ei200 - OK

Razlog: Serverski certifikat kojeg koristi RADIUS servis, je dostupan i ispravan prema podacima dostupnim za matičnu ustanovu.

ei201 - Serverski certifikat istječe za manje od 30 dana

Razlog: Provjerom serverskog certifikata koji koristi RADIUS servis utvrđeno je kako isti prestaje biti validan za manje od 30 dana.

Moguća rješenja: 

• • Potrebno je obnoviti RADIUS certifikat koji se koristi pri RADISU autentikaciji:

    • napraviti siguronosnu kopiju fRcerts direktorija
    • regenerirati RADIUS certifikat koristeci cert-admin skriptu (iz novog tar-a), točka 3.2 iz uputa na web adresi https://www.eduroam.hr/server-certs/
    • restartati RADIUS servis
    • provjeriti u logovima je li sve radi ispravno.

  • Više informacija o RADIUS certifikatima možete pronaći na : https://wiki.srce.hr/spaces/AAIUPUTE/pages/66781213/Upute+za+upravljanje+certifikatom+FreeRADIUS
    

ei202 - Serverski certifikat izvan vremenskog ograničenja

• • Potrebno je obnoviti RADIUS certifikat koji se koristi pri RADIUSU autentikaciji:

    • napraviti siguronosnu kopiju fRcerts direktorija
    • regenerirati RADIUS certifikat koristeci cert-admin skriptu (iz novog tar-a), točka 3.2 iz uputa na web adresi https://www.eduroam.hr/server-certs/
    • restartati RADIUS servis
    • provjeriti u logovima je li sve radi ispravno.

  • Više informacija o RADIUS certifikatima možete pronaći na : https://wiki.srce.hr/spaces/AAIUPUTE/pages/66781213/Upute+za+upravljanje+certifikatom+FreeRADIUS, a više informacija o skripti za izradu certifikata dostupno je na adresi : https://www.eduroam.hr/server-certs/

ei203 - Root CA certifikat istječe za manje od 30 dana

• • Upute za obnovu sustava certifikata nalaze se na web adresi https://wiki.srce.hr/spaces/AAIUPUTE/pages/194296155/Generiranje+sustava+freeRADIUS+certifikata+root+RADIUS+certifikat

ei204 - Root CA certifikat izvan vremenskog ograničenja

• • Upute za obnovu sustava certifikata nalaze se na web adresi https://wiki.srce.hr/spaces/AAIUPUTE/pages/194296155/Generiranje+sustava+freeRADIUS+certifikata+root+RADIUS+certifikat

ei205  - Serverski certifikat nije potpisan s root CA certifikatom

• • Ako je generiran novi root CA zbog isteka i zatim njime potpisan serverski certifikat RADIUS servisa, potrebno je sljedeće:
    • novi root CA postaviti u konfiguraciju eduroam installera prema uputama na web adresi https://wiki.srce.hr/spaces/AAIUPUTE/pages/76153204/Kako+korisnicima+omogu%C4%87iti+spajanje+na+eduroam
    • poslati e-mail na eduroam@srce.hr radi provjere
    • obavijestite korisnike da ukoliko koriste eduroam uslugu rekonfiguriraju uređaje novim installerom u kojem se nalazi novi root CA (https://installer.eduroam.hr/)
      

ei206 - Serverski certifikat nema podršku za Microsoft Windows 8+ operativni sustav

• • Problem sa Windows 8 operacijskim sustavom leži u poslužiteljskom certifikatu koji služi za zatvaranje TLS tunela pri spajanju. Ukoliko se korisnici Windows 8 operacijskog sustava ne mogu spojiti na eduroam pomoću programske podrške preuzete sa eduroam installer usluge, poslužiteljski certifikat nema odsječak koji govori Windows 8 operacijskim sustavima da se radi upravo o certifikatu namijenjenom za EAP-TLS te ga zato odbijaju. Detaljan opis problema dan je na Microsoftovoj stranici. Da biste omogućili spajanje Windows 8 korisnika dovoljno je ponovno generirati poslužiteljski certifikat prema uputama na stranici Kako prilagoditi installer.eduroam.hr uslugu za Windows 8 operacijski sustav?.

ei207 - Serverski certifikat nema podršku za Android 11+ operativni sustav (SAN zapis)

• • Potrebno je generirati sustav certifikata prema uputama na web adresi https://wiki.srce.hr/spaces/AAIUPUTE/pages/194296155/Generiranje+sustava+freeRADIUS+certifikata+root+RADIUS+certifikat jer trenutni RADIUS certifikat nema SAN atribut koji je potreban kod nekih uređaja za autentikaciju na eduroam usluzi.

ei208 - Serverski certifikat ima drugačiji CN od zapisa u installer.eduroam.hr bazi

ei209 - Serverski certifikat ima prenizak kripto algoritam samo n bitova

• • Zbog sigurnosnog problema ukoliko certifikat koristi nizak kriptografski algoritam, preporuka je prema uputama na adresi https://wiki.srce.hr/spaces/AAIUPUTE/pages/194296155/Generiranje+sustava+freeRADIUS+certifikata+root+RADIUS+certifikat
    generirati novi root CA i serverski certifikat koji koristi sigurniji algoritam.

ei210 - Nedostupan serverski certifikat

ei211 - Nedostupan root CA certifikat

ei212 - Realm je u procesu registracije