EduRoam: Porovnání verzí
m (32 revizí: IMPORT D-F: import stránek z hlavního jmenného prostoru z KiskWiki (http://kisk.phil.muni.cz/)) |
|||
| (Není zobrazeno 17 mezilehlých verzí od jednoho dalšího uživatele.) | |||
| Řádek 18: | Řádek 18: | ||
- Evropská konfederace: Nizozemí, Dánsko<br> | - Evropská konfederace: Nizozemí, Dánsko<br> | ||
- Asijsko/Pacifická konfederace: Austrálie, Hong Kong.<br> | - Asijsko/Pacifická konfederace: Austrálie, Hong Kong.<br> | ||
| − | Každý z nich je propojený servery | + | Každý z nich je propojený na servery národních operátorů (National Roaming Operators: NROs). Ty příjímají požadavky pro federační domény jimž jsou nadřízeny. Dále pak přesměrovávají požadavky na RADIUS servery připojených k federacím. |
'''Federační server (Federation-Level RADIUS server: FLR)'''<br> | '''Federační server (Federation-Level RADIUS server: FLR)'''<br> | ||
| − | Federační RADIUS server využívá seznamu připojených IdP a SP serverů a přípojených oblastí (realms). | + | Federační RADIUS server využívá seznamu připojených IdP a SP serverů a přípojených oblastí (realms). Příjímají požadavky z konfederačních serverů a připojených IdP/SP a přesměrovávají je správný koncový server. V případě, že jde o požadavek pro konfederační server, dojde k přesměrování na něj. |
'''RADIUS server (IdP a SP)'''<br> | '''RADIUS server (IdP a SP)'''<br> | ||
| Řádek 31: | Řádek 31: | ||
'''Přístupový bod (Access Point)'''<br> | '''Přístupový bod (Access Point)'''<br> | ||
| − | Zařízení, které se používá jako vstupní brána do bezdrátové sítě. V případě Eduroam je | + | Zařízení, které se používá jako vstupní brána do bezdrátové sítě. V případě Eduroam je kompatibilní s [http://standards.ieee.org/about/get/802/802.11.html normou IEEE 802.11] a [http://www.google.cz/url?sa=t&rct=j&q=ieee%208021x&source=web&cd=8&ved=0CGcQFjAH&url=http%3A%2F%2Fwiki.freeradius.org%2FIEEE-802.1X&ei=R8LSTrGSIcjKhAftxIGvDQ&usg=AFQjCNEzZg2QoxYS-T9GSSuUb2Rp-IXw8A&cad=rja IEEE 802.1X]. Dále musí podporovat přesměrovávání požadavků o autorizaci RADIUS serverům. Starají se také o zabezpečení spojení tím, že zajišťují výměnu klíčů mezi sítí a koncovým zařízením. |
'''Přepínač (Switch)'''<br> | '''Přepínač (Switch)'''<br> | ||
| Řádek 38: | Řádek 38: | ||
=== Způsoby autentizace === | === Způsoby autentizace === | ||
'''Autentizace na bázi protokolu 802.1x'''<br> | '''Autentizace na bázi protokolu 802.1x'''<br> | ||
| − | Tento zůsob autentizace využívá schopnosti přístupových zařízení povolit nebo | + | Tento zůsob autentizace využívá schopnosti přístupových zařízení povolit nebo odmítnout přístup na základě výsledku autorizace. Uživatel se připojí bezdrátově na AP nebo switch. Je povolena komunikace pouze přes autentizační protokol EAP. Program na zařízení klienta, kterému říkáme suplikant, spustí ověření přes EAP. AP nebo switch pak pošle žádost o ověření na RADIUS server. Tam dojde k porovnání s lokální databází uživatelů. Pokud nejde o lokálního uživatele, je požadavek přesměrován až na RADIUS server v domovské organizaci. Pokud vše proběhne korektně, vrací se výsledek zpět celou infrastrukturou až na AP/switch, kde dojde k jeho "otevření". Pokud je uživatel nalezen již na místním RADIUS serveru, je mu ihned umožněn přístup. Podle výsledku ověření uživatele lze umožnit přístup do specifických částí VLAN. |
'''EAP-TLS'''<br> | '''EAP-TLS'''<br> | ||
| Řádek 44: | Řádek 44: | ||
'''Prokokol PEAP''' (Protected Extensible Authentication Protocol)<br> | '''Prokokol PEAP''' (Protected Extensible Authentication Protocol)<br> | ||
| − | Je součástí skupiny protokolů EAP. Využívá | + | Je součástí skupiny protokolů EAP. Využívá TLS (Transport Level Security) k vytvoření šifrovaného kanálu meži ověřovaným klientem a ověřovatelem protokolu (RADIUS). |
| − | Autentizace na bázi VPN a autorizace za | + | Autentizace na bázi VPN a autorizace za pomoci webového formuláře (označovány jako eduroam-simple) byly odstaveny 1. října 2007 |
| + | |||
| + | === Nastavení pro jednotlivé platformy === | ||
| + | [http://eduroam.muni.cz/doku.php?id=navod-w7 Microsoft Windows 7]<br> | ||
| + | [http://eduroam.muni.cz/doku.php?id=navod-macosx-10.7 Apple OSX Mac OS X 10.7]<br> | ||
| + | [http://eduroam.muni.cz/doku.php?id=navod-linux Linux (obecně)]<br> | ||
| + | [http://www.eduroam.czu.cz/cs/?r=5037 Android]<br> | ||
| + | [http://www.eduroam.czu.cz/cs/?r=4838 Symbian 5th]<br> | ||
| + | [http://eduroam.muni.cz/doku.php?id=navod-wm6 Windows Mobile 6]<br> | ||
| + | [http://idoc.vsb.cz/cs/okruhy/cit/tuonet/sluzby/wifi/iphone-eduroam/index.html Apple iOS]<br> | ||
=== Poznámky=== | === Poznámky=== | ||
| Řádek 55: | Řádek 64: | ||
[http://eduroam.cz/doku.php?id=cs:pripojene_organizace Připojené organizace v ČR]<br> | [http://eduroam.cz/doku.php?id=cs:pripojene_organizace Připojené organizace v ČR]<br> | ||
[http://eduroam.muni.cz/doku.php?id=uvod Eduroam na Masarykově univerzitě]<br> | [http://eduroam.muni.cz/doku.php?id=uvod Eduroam na Masarykově univerzitě]<br> | ||
| − | [http://cbt.geant2.net/repository/eduroam_supplicants/setting_up_eduroam_supplicants.html Online webináře]<br> | + | [http://cbt.geant2.net/repository/eduroam_supplicants/setting_up_eduroam_supplicants.html Online webináře o Eduroam]<br> |
[http://monitor.eduroam.org/ Monitoring Eduroam]<br> | [http://monitor.eduroam.org/ Monitoring Eduroam]<br> | ||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
Aktuální verze z 6. 2. 2012, 11:13
Eduroam (Education Roaming)
Je bezpečná, celosvětově používaná služba pro zajištění roamningu připojení k internetu, vyvíjená pro mezinárodní výzkumné a vzdělávací komunity.[1] Eduroam umožňuje studentům, výzkumným pracovníkům a zaměstnancům ze spolupracujících institucí využívat jednoduše internetovou konektivitu při návštěvě jiné instituce, která participuje v systému.
Vznik a struktura projektu
Počátek projektu se datuje do roku 2002. Společnost Terena[2] tehdy iniciovala vznik systému, který by zajistil mobilitu připojení k wifi sítím. Síť využívá členění federací nebo konfederací. Spolupráci a koordinaci řídí tzv. Operační tým (Operation Team), který tvoří společnosti Scre, SURFnet, UNI-C a Terena. Financování je zajištěno projektem Géant [3].
Princip
Uživatel získá svoji jedinečnou identitu ve své mateřské instituci (například na univerzitě), která je zapojena do projektu Eduroam. Pokud chce využít síť jiné spolupracující organizace, použije svoji identitu. Ta se ověří, a pokud je vše v pořádku, je připojení umožněno. V praxi to znamená, že proces připojení je identický jako v mateřské síti. Není tedy nutné nic vyplňovat ani nastavovat. Zároveň je zajištěna bezpečnost a uživatel se nemusí obávat o zneužití svých přihlašovacích údajů.
Technické pozadí
Technologie Eduroam využívá standardů založených na normě 802.1X a síť RADIUS proxy serverů.
Části infrastruktury Eduroam
Konfederační RADIUS server nejvyšší úrovně (Confederation top-level RADIUS Server: TLR)
Servery této úrovně jsou umístěny:
- Evropská konfederace: Nizozemí, Dánsko
- Asijsko/Pacifická konfederace: Austrálie, Hong Kong.
Každý z nich je propojený na servery národních operátorů (National Roaming Operators: NROs). Ty příjímají požadavky pro federační domény jimž jsou nadřízeny. Dále pak přesměrovávají požadavky na RADIUS servery připojených k federacím.
Federační server (Federation-Level RADIUS server: FLR)
Federační RADIUS server využívá seznamu připojených IdP a SP serverů a přípojených oblastí (realms). Příjímají požadavky z konfederačních serverů a připojených IdP/SP a přesměrovávají je správný koncový server. V případě, že jde o požadavek pro konfederační server, dojde k přesměrování na něj.
RADIUS server (IdP a SP)
IdP RADIUS server oveřuje své vlastní uživatele za použití lokální databáze.
SP RADIUS server je odpovědný ze přeposílání požadavků hostujících uživatelů na příslušný federační server.
Suplikant (Supplicant)
Část softwaru zařízení koncového uživatele (mobilní telefon, PDA, tablet, notebook, atd.), které uživatel používá k připojení k síti. Používá 802.1X protokol k odeslání požadavku na ověření za použití EAP.
Přístupový bod (Access Point)
Zařízení, které se používá jako vstupní brána do bezdrátové sítě. V případě Eduroam je kompatibilní s normou IEEE 802.11 a IEEE 802.1X. Dále musí podporovat přesměrovávání požadavků o autorizaci RADIUS serverům. Starají se také o zabezpečení spojení tím, že zajišťují výměnu klíčů mezi sítí a koncovým zařízením.
Přepínač (Switch)
Přepínač je odpovědný za přesměrování ze zařízení koncového uživatele (resp. suplikantu) na SP RADIUS server. Následně může zajistit přístup do konkrétní VLAN sítě. Stejně jako AP také zajišťuje výměnu klíčů, aby zajistil bezpečnost připojení.
Způsoby autentizace
Autentizace na bázi protokolu 802.1x
Tento zůsob autentizace využívá schopnosti přístupových zařízení povolit nebo odmítnout přístup na základě výsledku autorizace. Uživatel se připojí bezdrátově na AP nebo switch. Je povolena komunikace pouze přes autentizační protokol EAP. Program na zařízení klienta, kterému říkáme suplikant, spustí ověření přes EAP. AP nebo switch pak pošle žádost o ověření na RADIUS server. Tam dojde k porovnání s lokální databází uživatelů. Pokud nejde o lokálního uživatele, je požadavek přesměrován až na RADIUS server v domovské organizaci. Pokud vše proběhne korektně, vrací se výsledek zpět celou infrastrukturou až na AP/switch, kde dojde k jeho "otevření". Pokud je uživatel nalezen již na místním RADIUS serveru, je mu ihned umožněn přístup. Podle výsledku ověření uživatele lze umožnit přístup do specifických částí VLAN.
EAP-TLS
Metoda oveření uživatele za použití certifikátu. Je považována za bezpečnější než metody využívající k ověření heslo.
Prokokol PEAP (Protected Extensible Authentication Protocol)
Je součástí skupiny protokolů EAP. Využívá TLS (Transport Level Security) k vytvoření šifrovaného kanálu meži ověřovaným klientem a ověřovatelem protokolu (RADIUS).
Autentizace na bázi VPN a autorizace za pomoci webového formuláře (označovány jako eduroam-simple) byly odstaveny 1. října 2007
Nastavení pro jednotlivé platformy
Microsoft Windows 7
Apple OSX Mac OS X 10.7
Linux (obecně)
Android
Symbian 5th
Windows Mobile 6
Apple iOS
Poznámky
- ↑ Eduroam [online].Terena, 7.1.2011 [cit. 2011-11-15]. Dostupné z WWW: <http://www.eduroam.org/>.
- ↑ Terena [online]. 8.1.2010 [cit. 2011-11-15]. TF-Mobility and Network Middleware. Dostupné z WWW: <http://www.terena.org/activities/tf-mobility/>.
- ↑ GÉANT Public Portal [online]. 2011 [cit. 2011-11-27]. Roaming. Dostupné z WWW: <http://www.geant.net/Research/Multidomain_User_Application_Research/Pages/Roaming.aspx>.
Užitečné odkazy
Celosvětová mapa pokrytí Eduroam
Připojené organizace v ČR
Eduroam na Masarykově univerzitě
Online webináře o Eduroam
Monitoring Eduroam
