Rozdíly
Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revize Předchozí verze | |||
cs:uzivatel:fungovani_roamingu [2017/03/12 09:59] – semik@cesnet.cz | cs:uzivatel:fungovani_roamingu [2024/01/15 09:48] (aktuální) – odstraněno Jan Čáslavský | ||
---|---|---|---|
Řádek 1: | Řádek 1: | ||
- | 12.3.2017 ZASTARALE OSTRANENO Z NAVIGACE | ||
- | |||
- | ====== Jednoduchý popis fungování roamingu a mobility pro uživatele ====== | ||
- | |||
- | Hlavní motivací pro vznik roamingu mezi organizacemi v rámci české NREN je | ||
- | bezesporu snaha umožnit uživatelům zcela transparentní přístup k síti v co | ||
- | možná největším počtu lokalit. Mít možnost dostat se na Internet nejen z | ||
- | univerzity, na které pracuji/ | ||
- | dobu, atp. To je cílem mobility a roamingu, který se neomezuje jen na ČR, na | ||
- | roamingu v současné době spolupracuje mnoho zemí v rámci celé EU. | ||
- | Uvažujme modelovou situaci, kdy uživatel z organizace A přijede na návštěvu do | ||
- | organizace B a chce využívat její síť (tento model je nejvíce patrný na příkladu | ||
- | bezdrátových sítí, ale situace se musí chápat obecně - nejen wifi, ale i kabelové sítě, term | ||
- | inálové haly, ...). | ||
- | Uživatel má pouze jedinou identitu (uživatelský účet vedený ve své domácí | ||
- | instituci) a s ní je schopen přihlášení do kterékoli spolupracující sítě. | ||
- | Celý systém je postaven tak, že na základě uživatelského jména jsou autentizační | ||
- | dotazy posílány do uživatelovy domovské sítě. Tam je rozhodnuto, zda je uživatel | ||
- | tím, za kterého se vydává, a zda má právo přístupu. Tato informace je přenesena | ||
- | zpět do navštívené sítě a přístupový mechanizmus (AP, switch, ...) se podle ní | ||
- | zařídí - buďto uživatele do sítě vpustí nebo jeho požadavek zamítne. Pro funkci takto | ||
- | nastíněného systému jsou nezbytné dvě věci. Uživatelské jméno, které v sobě nese | ||
- | informaci, odkud uživatel pochází, a autentizační infrastruktura, | ||
- | přenášet autentizační data. | ||
- | Tvar uživatelského jména má proto následující syntaxi: " | ||
- | běžné uživatelské jméno platné v rámci dané instituce a realm určuje, o jakou | ||
- | organizaci jde. Tento tvar je velmi podobný formátu adresy elektronické pošty a | ||
- | je podobný i významově. Konvence realmu je převzata ze systému DNS a je rovněž | ||
- | hierarchická. Pro organizace v rámci ČR končí realm koncovkou " | ||
- | uživatelského jména zaměstnance CESNETu tedy může být novak@cesnet.cz. | ||
- | Hlavním úkolem autentizační infrastruktury (AAI - autentication and authorization | ||
- | infrastructure) je nasměrovat ověřovací údaje do domácí sítě daného uživatele a | ||
- | přenést odpověď zpět na systém, který se dotazuje. Toto vše učinit bezpečně a | ||
- | spolehlivě. V současné době je AAI tvořena stromovou hierarchií RADIUS serverů. | ||
- | Pro ověřování uživatelů pro přístup do sítě se v současné době používají tři hlavní | ||
- | mechanizmy: | ||
- | |||
- | ===== Autentizace na bázi protokolu 802.1x ===== | ||
- | |||
- | Tento způsob ověření je založen na schopnosti přístupového prvku (access point nebo | ||
- | switch) řídit provoz na jednotlivých portech. Uživatel se připojí k síti, ale | ||
- | veškerý datový provoz je blokován s výjimkou autentizačního protokolu. Klientský | ||
- | počítač (vybavený speciálním programem **suplikant**, | ||
- | schopen předávat autentizační data) pošle síťovému prvku informace o uživateli | ||
- | (jméno, heslo, případně certifikát nebo jiné autentizační údaje) a čeká na výsledek. | ||
- | Síťový prvek za dotáže přes autentizační infrastrukturu uživatelovy domácí sítě, zda | ||
- | jej může vpustit do sítě, a v závislosti na odpovědi buďto povolí nebo zablokuje přístup. | ||
- | |||
- | |||
- | ===== Uživatelský pohled ===== | ||
- | |||
- | Před každou cestou, na které je plánováno využití služeb roamingu, je výhodné | ||
- | se detailně informovat o stavu na dané instituci. Zde je myšleno především jaký | ||
- | autentizační mechanizmus je použit, jaký je identifikátor sítě (SSID) - občas je | ||
- | potřeba jej zadat ručně, jaké je pokrytí signálem, atd. Není rovněž od věci | ||
- | požádat lokálního správce sítě o konzultaci a eventuální nastavení klientského | ||
- | počítače tak, aby byl připraven na podmínky v hostitelské síti. Snahou pochopitelně | ||
- | je, aby byl celý systém maximálně unifikovaný a jednoduchý, | ||
- | tak vždy být nemusí. | ||
- | Vlastní postup při připojení k síti pak závisí na použitém autentizačním mechanizmu. | ||
- | |||
- | ==== Autentizace pomocí 802.1x ==== | ||
- | |||
- | Zde je potřeba spustit program **suplikant**, | ||
- | prvkem sítě. V některých operačních systémech je tento program již pevně zabudován a není | ||
- | potřeba ho doinstalovávat (WinXP). Do suplikantu se zadají přihlašovací údaje | ||
- | (jméno/ | ||
- | k dispozici a k použití. | ||
- | |||