EduRoam: Porovnání verzí
(Založena nová stránka: == Eduroam (Education Roaming)== Je bezpečná, celosvětově používaná služba pro zajištění roamningu připojení k internetu vyvíjená pro mezinárodní výzkumn...) |
|||
| Řádek 23: | Řádek 23: | ||
'''RADIUS server (IdP a SP)'''<br> | '''RADIUS server (IdP a SP)'''<br> | ||
| − | IdP RADIUS server oveřuje své vlastní uživatele za použití lokální databáze. | + | [http://cs.wikipedia.org/wiki/RADIUS IdP RADIUS server] oveřuje své vlastní uživatele za použití lokální databáze. |
SP RADIUS server je odpovědný ze přeposílání požadavků hostujících uživatelů na příslušný federační server. | SP RADIUS server je odpovědný ze přeposílání požadavků hostujících uživatelů na příslušný federační server. | ||
Verze z 27. 11. 2011, 23:00
Eduroam (Education Roaming)
Je bezpečná, celosvětově používaná služba pro zajištění roamningu připojení k internetu vyvíjená pro mezinárodní výzkumné a vzdělávací komunity.[1] Eduroam umožňuje studentům, výzkumným pracovníkům a zaměstnancům ze spolupracujících institucí využívat jednoduše internetovou konektivitu při návštěvě jiné instituce, která participuje v systému.
Vznik a struktura projektu
Počátek projektu se datuje do roku 2002. Společnost Terena[2] tehdy iniciovala vznik systému, který by zajistil mobilitu připojení k wifi sítím. Síť využívá členění federací nebo konfederací. Spolupráci a koordinaci řídí tzv. Operační tým (Operation Team), který tvoří společnosti Scre, SURFnet, UNI-C a Terena. Financování je zajištěno projektem Géant [3].
Princip
Uživatel získá svoji jedinečnou identitu ve své mateřské instituci (například na univerzitě), která je zapojena do projektu Eduroam. Pokud chce využít síť jiné spolupracující organizace, použije svoji identitu. Ta se ověří a pokud je vše v pořádku je připojení umožněno. V praxi to znamená, že proces připojení je identický jako v mateřské síti. Není tedy nutné nic vyplňovat ani nastavovat. Zároveň je zajištěna bezpečnost a uživatel se nemusí obávat o zneužití svých přihlašovacích údajů.
Technické pozadí
Technologie Eduroam využívá standardů založených na normě 802.1X a síť RADIUS proxy serverů.
Části infrastruktury Eduroam
Konfederační RADIUS server nejvyšší úrovně (Confederation top-level RADIUS Server: TLR)
Servery této úrovně jsou umístěny:
- Evropská konfederace: Nizozemí, Dánsko
- Asijsoko/Pacifická konfederace: Austrálie, Hong Kong
Každý z nich je propojený servery na národních operátorů (National Roaming Operators: NROs). Ty příjmají požadavky pro federační domény jemž jsou nadřízeny. Dále pak přesměrovávají požadavky na RADIUS servery připřazení k federacím.
Federační server (Federation-Level RADIUS server: FLR)
Federační RADIUS server využívá seznamu připojených IdP a SP serverů a přípojených oblastí (realms). Příjmají požadavky z konfederačních serverů a připojených IdP/SP a přesměrovávají je správný koncový server. V případě, že jde o požadavek pro konfederační server dojde k přesměrování na něj.
RADIUS server (IdP a SP)
IdP RADIUS server oveřuje své vlastní uživatele za použití lokální databáze.
SP RADIUS server je odpovědný ze přeposílání požadavků hostujících uživatelů na příslušný federační server.
Suplikant (Supplicant)
Část softwaru zařízení koncového uživatele (mobilní telefon, PDA, tablet, notebook, atd.), které uživatel používá k připojení k síti. Používá 802.1X protokol k odeslání požadavku na ověření za použití EAP.
Přístupový bod (Access Point)
Zařízení, které se používá jako vstupní brána do bezdrátové sítě. V případě Eduroam je kompatabilní s normou IEEE 802.11 a IEEE 8021X. Dále musí podporovat přesměrovávání požadavků o autorizaci RADIUS serverům. Starají se také o zabezpečení spojení tím, že zajišťují výměnu klíčů mezi sítí a koncovým zařízením.
Přepínač (Switch)
Přepínač je odpovědný za přesměrování ze zařízení koncového uživatele (resp. suplikantu) na SP RADIUS server. Následně může zajistit přístup do konkrétní VLAN sítě. Stejně jako AP také zajišťuje výměnu klíčů, aby zajistil bezpečnost připojení.
Způsoby autentizace
Autentizace na bázi protokolu 802.1x
Tento zůsob autentizace využívá schopnosti přístupových zařízení povolit nebo odmítnou přístup na základě výsledku autorizace. Uživatel se připojí bezdrátově na AP nebo switch. Je povolena komunikace pouze přes autentizační protokol EAP. Program na zařízení klienta, kterému říkáme suplikant, spustí ověřební přes EAP. AP nebo switch pak pošle žádost o ověření na RADIUS server. Tam dojde k porovnání s lokální databází uživatelů. Pokud nejde o lokálního uživatele je požadavek přesměrován až na RADIUS server v domovské organizaci. Pokud vše proběhne korektně vrací se vyýledek zpět celou infrastrukturou až na AP/switch, kde dojde k jeho "otevření". Pokud je uživatel nalezen již na místním RADIUS serveru je mu ihned umožněn přístup. Podle výsledku ověření uživatele lze umožnit přístup do specifických částí VLAN.
EAP-TLS
Metoda oveření uživatele za použití certifikátu. Je považována za bezpečnější než metody využívající k ověření heslo.
Prokokol PEAP (Protected Extensible Authentication Protocol)
Je součástí skupiny protokolů EAP. Využívá TSL TLS (Transport Level Security) k vytvoření šifrovaného kanálu meži ověřovaným klientem a ověřovatelem protokolu (RADIUS).
Autentizace na bázi VPN a autorizace za pomocí webového formuláře (označovány jako eduroam-simple) byly odstaveny 1. října 2007
Poznámky
- ↑ Eduroam [online].Terena, 7.1.2011 [cit. 2011-11-15]. Dostupné z WWW: <http://www.eduroam.org/>.
- ↑ Terena [online]. 8.1.2010 [cit. 2011-11-15]. TF-Mobility and Network Middleware. Dostupné z WWW: <http://www.terena.org/activities/tf-mobility/>.
- ↑ GÉANT Public Portal [online]. 2011 [cit. 2011-11-27]. Roaming. Dostupné z WWW: <http://www.geant.net/Research/Multidomain_User_Application_Research/Pages/Roaming.aspx>.
Užitečné odkazy
Celosvětová mapa pokrytí Eduroam
Připojené organizace v ČR
Eduroam na Masarykově univerzitě
Online webináře
Monitoring Eduroam
Nastavení pro jednotlivé platformy
Microsoft Windows 7
Apple OSX Mac OS X 10.7
Linux (obecně)
Android
Symbian 5th)
Windows Mobile 6)
Apple iOS)
