Unterstützung für das RFC 7585 "Dynamic Peer Discovery for RADIUS/TLS and RADIUS/DTLS Based on the Network Access Identifier (NAI)". Statt RADIUS-Requests statisch zu einem oder mehreren RADIUS-Servern weiterzuleiten ermöglicht Dynamic Peer Discovery dynamisch anhand des Realms / NAIs den richtigen RADIUS-Server zu finden. Kommt ein Request, so wird per DNS NAPTR/SRV-Record der richtige Server gefunden.
LANconfig:
Konsole:
- DPD aktiv
- Dynamic Peer Discovery ein- bzw. ausschalten. Sobald Dynamic Peer Discovery eingeschaltet ist, verzweigt der RADIUS-Server zur dynamischen Auflösung, falls ein bestimmter Realm / NAI nicht in seiner Weiterleitungs-Tabelle definiert ist. Lokale Definitionen für Realms haben also immer Vorrang.
- Dienste
-
Tabelle mit den Diensten. Der Dienst ist das, was in der NAPTR-Antwort im Service geliefert wird. Es werden alle NAPTR-Einträge
extrahiert und weiter aufgelöst, die als Service den mit der höchsten Priorität aus dieser Tabelle haben. Werden mit der
Default-Einstellung z. B. NAPTR-Records für beide Service-Typen geliefert, so werden die für "x-eduroam:radius.tls"
ignoriert. Die Tabelle wird vom LCOS automatisch sortiert, so dass höher
priorisierte Services weiter oben stehen. Das Protokoll, das zu so einem Server genutzt werden muss (RADIUS oder RADSEC), wird
explizit vorgegeben. Für den Fall, daß die NAPTR-Anfrage keine verwendbaren Records liefert, hat diese Tabelle noch die
Bedeutung, welcher Präfix dem NAI für die Fallback-SRV-Anfrage vorangestellt wird. Es wird der höchspriorisierte Eintrag aus der
Tabelle genommen, für den in einer intern fix definierten Tabelle ein Präfix definiert ist. Aktuell sind die Services
radius.tls, radius.tls.tcp, radsec.tcp und radius.udp definiert, die auf ein Präfix von _radiustls._tcp., _radsec.tcp. bzw.
_radius._udp. mappen.
- Priorität
- Die Priorität dieses Dienstes.
- Dienst
- Die Dienste selbst. Voreingestellt sind "aaa+auth:radius.tls.tcp" und "x-eduroam:radius.tls".
- Protokoll
- Das Protokoll (RADIUS oder RADSEC), das zu diesem Dienst genutzt wird.
- DNS-Timeout
- Die Zeitspanne in Sekunden, innerhalb der alle DNS-Anfragen für einen NAI abgehandelt sein müssen. Das schließt auch die zweistufige Variante über NAPTR- und nachfolgende SRV-Anfragen ein. Default: 3 Sekunden
- Minimale eff. TTL
- Vom DNS-Server gemeldete TTL-Werte, die kürzer als diese Zeit sind, werden auf diesen Wert angehoben. Default: 60 Sekunden
- Backoff-Zeit
- Falls eine Auflösung in einem Fehler endet (DNS-Antwort mit Fehler, Timeout…), ist dies die Zeit in Sekunden, für die keine neuen Auflöseversuche für diesen Realm gemacht werden sollen. Default: 600 Sekunden
- Attributwerte
- RADIUS-Attribute, die bei Weiterleitungen an per Dynamic Peer Discovery ermittelte Server hinzugefügt oder geändert werden sollen.
- Routing-Tag
- Das Routing-Tag, welches Dynamic Peer Discovery für seine DNS-Anfragen nutzen soll. Default: 0
- Abesende-Adresse (opt.)
- Die Loopback-Adresse, die bei den Weiterleitungen der per Dynamic Peer Discovery ermittelten RADIUS-Server benutzt werden soll.
