cs:spravce:uvod

eduroam v rámci české NREN

eduroam zajištuje uživatelům transparentní přístup k Internetu bez ohledu na to v jaké participující organizaci se uživatel nachází. Tento princip lze aplikovat nejen na WiFi ale i na kabelové sítě ke kterým je umožněno uživateli si připojit vlastní počítač. V eduroamu uživatel disponuje jedinou identitou (údaje jsou uchovány v jeho domácí instituci), která jej opravňuje k přístupu ke všem participujícím sítím.

Koordinací eduroamu v rámci české sítě národního výzkumu (NREN - National Research and Education Network) se zajištuje společnost CESNET, která je současně provozovatelem této sítě. Pro označení roamingového systému se používá termín eduroam, kterým jsou označovány všechny spolupracující sítě. Je to také vhodné vodítko pro uživatele. Pokud někdo vidí na webových stránkách nějaké organizace, na zdi počítačové učebny nebo na pracovní ploše terminálu logo eduroam (obr. 1), je mu hned jasné, že se může připojit v rámci roamingu. Společné SSID eduroam (identifikátor radiové sítě) vysílané všemi zapojenými WiFi sítěmi zajištuje pohodlné připojení k síti pomocí počítače telefonu anebo tabletu.

Označení eduroam pro roamingový systém se používá celosvětově. Rozvoj systému eduroam zajištuje TERENA Mobility-TF a současně pracovní skupina v projektu Geant. Logo eduroamu bylo vytvořeno Pavlem Satrapou, jsou k dispozici různé velikosti a formáty.

:eduroam_450pix.png

Klíčovou roli v roamingovém systému hraje autentizační a autorizační infrastruktura (AAI), do které jsou napojeny všechny lokální autentizační systémy zapojených organizací. AAI zajištuje výměnu ověřovacích údajů o uživatelích, a to za dodržení přísných bezpečnostních kritérií. Uživatel v síti vystupuje s jedinou identitou a ověřovací údaje jsou uchovány v autentizačním systému jeho domovské organizace. Pokud se tento uživatel tedy bude chtít připojit do jiné (tzv. hostující) sítě, musí si tato vyžádat jeho ověření v domácí síti. Tento přenos autentizačních údajů zajistí právě AAI.

Pro potřeby mobility a roamingu byly pracovní skupinou TERENA Mobility-TF nadefinovány modelové autentizační mechanizmy 802.1x, VPN a web. V současnosti se už výrahradně používá 802.1x. Roli AAI zajištuje hierarchická struktura RADIUS serverů.

Autentizace na bázi protokolu 802.1x

Autentizace pomocí 802.1x je založena na schopnosti přístupového zařízení (AP nebo switch) ovládat provoz na L2 úrovni. Klient se připojí na port zařízení (u AP virtuální, u switche fyzický), tento port je ve stavu “zavřeno”. Je povolen pouze autentizační protokol EAP. Speciální program (suplikant), běžící na straně klienta, zahájí ověření přes EAP protokol. Suplikant vyšle na AP žádost o autentizaci, AP naváže spojení na RADIUS server a zprostředkuje ověření suplikantu vůči RADIUSu. Pokud je uživatel lokální, proběhne ověření přímo na RADIUS serveru, se kterým komunikuje AP. Pokud jde o návštěvníka, bude autentizační požadavek transportován přes strukturu RADIUS serverů až na domácí síť uživatele (detaily níže). Tento mechanizmus je zachycen na obrázku 2.

802.1x autentizace

O výsledku (přístup povolen/zamítnut) informuje RADIUS server AP, ten v závislosti na odpovědi povolí či zakáže provoz na daném portu. Tento mechanizmus pracuje na druhé síťové vrstvě a umožňuje kromě prostého otevření/zavření portu také jeho přepnutí do určité VLANy. V závislosti na ověřovacích údajích pak může klient dostat přístup např. do zaměstnanecké sítě, do sítě pro hosty nebo na Internet.

Hierarchická struktura RADIUS serverů

Při ověřování na bázi 802.1x a webu sehraje roli AAI hierarchická struktura RADIUS serverů (obr. 5). Každá instituce spolupracující na roamingu má svůj RADIUS server, který dokáže ověřit uživatele z této instituce. Tyto uživatelské účty jsou vedeny buďto přímo na RADIUS serveru, nebo na jiné platformě (LDAP, SQL, …) a RADIUS použít pouze jako rozhraní. Tyto “organizační” RADIUS servery jsou v rámci dané země propojeny k “národnímu” RADIUSu, který zajišťuje předávání požadavků na ověřování mezi institucemi. RADIUS server pro ČR zajišťuje CESNET. Směrování ověřovacích požadavků mezi servery je založeno na koncepci tzv. realmů (viz. Definice RADIUS protokolu - RFC 2138). Uživatelské jméno má tvar uname@realm. Realm může být libovolný řetězec, ale z praktických důvodů se volí stejný jako doménové jméno instituce. Příklad kompletního uživatelského jména uživatele z CESNETu pak může být furman@cesnet.cz. Národní RADIUS server je zkonfigurován tak, aby dokázal zpracovat/přesměrovat všechny dotazy na realm “.cz”. Podle zbývající části (v našem příkladu “cesnet”) určí, na který organizační RADIUS server bude požadavek směrován. Tato koncepce je defacto neomezeně škálovatelná, takže i v rámci jedné organizace může být více “podrealmů”.

Analogicky k národnímu existuje i tzv. top-level RADIUS server, na který jsou napojeny národní RADIUSy jednotlivých zemí. Tento server provozuje společnost SURFNet (operátor holandské NREN).

Pro zabezpečení RADIUS komunikace se spojení mezi RADIUS servery šifruje buď pomocí protokolu RadSec nebo IPsec.

Hierarchie RADIUS serverů

Roaming z pohledu uživatele

Po prvotním nastavení uživatel už jen zapne svůj notebook, případně aktivuje WiFi a o nic dalšího se nestará. Software (supplicant, který je obvykle součástí operačního systému) jeho notebooku se pomocí uloženého jména a hesla postará o ověření a otevření připojení k Internetu bez ohledu na to v jaké eduroam síti se uživatel právě nachází.

Je snahou aby mobilní přístup k sítím byl pro uživatele maximálně jednoduchý a transparentní. Pochopitelně může docházet k nějkým potížím, s ohledem na cenu HW nemusí být všechny lokality nakonfigurovány zcela stejně. V lokalitách kde dochází k velkým překryvům WiFi sítí se občas používají SSID doplněná o název organizace, např. eduroam-cesnet. Jsou to ale ojedinělé případy a je naší snahou tyto rozdílnosti řešit tak aby bylo použítí pro uživate co nejpříjemnější.

Poslední úprava: 2016/11/06 11:17