cs:uzivatel:fungovani_roamingu

Toto je starší verze dokumentu!


Jednoduchý popis fungování roamingu a mobility pro uživatele

Hlavní motivací pro vznik roamingu mezi organizacemi v rámci české NREN je bezesporu snaha umožnit uživatelům zcela transparentní přístup k síti v co možná největším počtu lokalit. Mít možnost dostat se na Internet nejen z univerzity, na které pracuji/studuji, ale i z jiné, kam jsem přijel jen na krátkou dobu, atp. To je cílem mobility a roamingu, který se neomezuje jen na ČR, na roamingu v současné době spolupracuje mnoho zemí v rámci celé EU. Uvažujme modelovou situaci, kdy uživatel z organizace A přijede na návštěvu do organizace B a chce využívat její síť (tento model je nejvíce patrný na příkladu bezdrátových sítí, ale situace se musí chápat obecně - nejen wifi, ale i kabelové sítě, term inálové haly, …). Uživatel má pouze jedinou identitu (uživatelský účet vedený ve své domácí instituci) a s ní je schopen přihlášení do kterékoli spolupracující sítě. Celý systém je postaven tak, že na základě uživatelského jména jsou autentizační dotazy posílány do uživatelovy domovské sítě. Tam je rozhodnuto, zda je uživatel tím, za kterého se vydává, a zda má právo přístupu. Tato informace je přenesena zpět do navštívené sítě a přístupový mechanizmus (AP, switch, …) se podle ní zařídí - buďto uživatele do sítě vpustí nebo jeho požadavek zamítne. Pro funkci takto nastíněného systému jsou nezbytné dvě věci. Uživatelské jméno, které v sobě nese informaci, odkud uživatel pochází, a autentizační infrastruktura, která je schopna přenášet autentizační data. Tvar uživatelského jména má proto následující syntaxi: „jmeno@realm“. Jméno je běžné uživatelské jméno platné v rámci dané instituce a realm určuje, o jakou organizaci jde. Tento tvar je velmi podobný formátu adresy elektronické pošty a je podobný i významově. Konvence realmu je převzata ze systému DNS a je rovněž hierarchická. Pro organizace v rámci ČR končí realm koncovkou „.cz“. Příklad uživatelského jména zaměstnance CESNETu tedy může být novak@cesnet.cz. Hlavním úkolem autentizační infrastruktury (AAI - autentication and authorization infrastructure) je nasměrovat ověřovací údaje do domácí sítě daného uživatele a přenést odpověď zpět na systém, který se dotazuje. Toto vše učinit bezpečně a spolehlivě. V současné době je AAI tvořena stromovou hierarchií RADIUS serverů. Pro ověřování uživatelů pro přístup do sítě se v současné době používají tři hlavní mechanizmy:

Autentizace na bázi protokolu 802.1x

Tento způsob ověření je založen na schopnosti přístupového prvku (access point nebo switch) řídit provoz na jednotlivých portech. Uživatel se připojí k síti, ale veškerý datový provoz je blokován s výjimkou autentizačního protokolu. Klientský počítač (vybavený speciálním programem suplikant, který je schopen předávat autentizační data) pošle síťovému prvku informace o uživateli (jméno, heslo, případně certifikát nebo jiné autentizační údaje) a čeká na výsledek. Síťový prvek za dotáže přes autentizační infrastrukturu uživatelovy domácí sítě, zda jej může vpustit do sítě, a v závislosti na odpovědi buďto povolí nebo zablokuje přístup.

Uživatelský pohled

Před každou cestou, na které je plánováno využití služeb roamingu, je výhodné se detailně informovat o stavu na dané instituci. Zde je myšleno především jaký autentizační mechanizmus je použit, jaký je identifikátor sítě (SSID) - občas je potřeba jej zadat ručně, jaké je pokrytí signálem, atd. Není rovněž od věci požádat lokálního správce sítě o konzultaci a eventuální nastavení klientského počítače tak, aby byl připraven na podmínky v hostitelské síti. Snahou pochopitelně je, aby byl celý systém maximálně unifikovaný a jednoduchý, ale v počátcích tomu tak vždy být nemusí. Vlastní postup při připojení k síti pak závisí na použitém autentizačním mechanizmu.

Autentizace pomocí 802.1x

Zde je potřeba spustit program suplikant, který zajistí komunikaci s aktivním prvkem sítě. V některých operačních systémech je tento program již pevně zabudován a není potřeba ho doinstalovávat (WinXP). Do suplikantu se zadají přihlašovací údaje (jméno/heslo) a pak již vše závisí na průběhu ověření. Pokud vše proběhne v pořádku, je síť k dispozici a k použití.

Poslední úprava:: 2017/03/12 10:59