Rozdíly
Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
| Obě strany předchozí revize Předchozí verze | |||
| cs:uzivatel:fungovani_roamingu [2017/03/12 09:59] – semik@cesnet.cz | cs:uzivatel:fungovani_roamingu [2024/01/15 09:48] (aktuální) – odstraněno Jan Čáslavský | ||
|---|---|---|---|
| Řádek 1: | Řádek 1: | ||
| - | 12.3.2017 ZASTARALE OSTRANENO Z NAVIGACE | ||
| - | |||
| - | ====== Jednoduchý popis fungování roamingu a mobility pro uživatele ====== | ||
| - | |||
| - | Hlavní motivací pro vznik roamingu mezi organizacemi v rámci české NREN je | ||
| - | bezesporu snaha umožnit uživatelům zcela transparentní přístup k síti v co | ||
| - | možná největším počtu lokalit. Mít možnost dostat se na Internet nejen z | ||
| - | univerzity, na které pracuji/ | ||
| - | dobu, atp. To je cílem mobility a roamingu, který se neomezuje jen na ČR, na | ||
| - | roamingu v současné době spolupracuje mnoho zemí v rámci celé EU. | ||
| - | Uvažujme modelovou situaci, kdy uživatel z organizace A přijede na návštěvu do | ||
| - | organizace B a chce využívat její síť (tento model je nejvíce patrný na příkladu | ||
| - | bezdrátových sítí, ale situace se musí chápat obecně - nejen wifi, ale i kabelové sítě, term | ||
| - | inálové haly, ...). | ||
| - | Uživatel má pouze jedinou identitu (uživatelský účet vedený ve své domácí | ||
| - | instituci) a s ní je schopen přihlášení do kterékoli spolupracující sítě. | ||
| - | Celý systém je postaven tak, že na základě uživatelského jména jsou autentizační | ||
| - | dotazy posílány do uživatelovy domovské sítě. Tam je rozhodnuto, zda je uživatel | ||
| - | tím, za kterého se vydává, a zda má právo přístupu. Tato informace je přenesena | ||
| - | zpět do navštívené sítě a přístupový mechanizmus (AP, switch, ...) se podle ní | ||
| - | zařídí - buďto uživatele do sítě vpustí nebo jeho požadavek zamítne. Pro funkci takto | ||
| - | nastíněného systému jsou nezbytné dvě věci. Uživatelské jméno, které v sobě nese | ||
| - | informaci, odkud uživatel pochází, a autentizační infrastruktura, | ||
| - | přenášet autentizační data. | ||
| - | Tvar uživatelského jména má proto následující syntaxi: " | ||
| - | běžné uživatelské jméno platné v rámci dané instituce a realm určuje, o jakou | ||
| - | organizaci jde. Tento tvar je velmi podobný formátu adresy elektronické pošty a | ||
| - | je podobný i významově. Konvence realmu je převzata ze systému DNS a je rovněž | ||
| - | hierarchická. Pro organizace v rámci ČR končí realm koncovkou " | ||
| - | uživatelského jména zaměstnance CESNETu tedy může být novak@cesnet.cz. | ||
| - | Hlavním úkolem autentizační infrastruktury (AAI - autentication and authorization | ||
| - | infrastructure) je nasměrovat ověřovací údaje do domácí sítě daného uživatele a | ||
| - | přenést odpověď zpět na systém, který se dotazuje. Toto vše učinit bezpečně a | ||
| - | spolehlivě. V současné době je AAI tvořena stromovou hierarchií RADIUS serverů. | ||
| - | Pro ověřování uživatelů pro přístup do sítě se v současné době používají tři hlavní | ||
| - | mechanizmy: | ||
| - | |||
| - | ===== Autentizace na bázi protokolu 802.1x ===== | ||
| - | |||
| - | Tento způsob ověření je založen na schopnosti přístupového prvku (access point nebo | ||
| - | switch) řídit provoz na jednotlivých portech. Uživatel se připojí k síti, ale | ||
| - | veškerý datový provoz je blokován s výjimkou autentizačního protokolu. Klientský | ||
| - | počítač (vybavený speciálním programem **suplikant**, | ||
| - | schopen předávat autentizační data) pošle síťovému prvku informace o uživateli | ||
| - | (jméno, heslo, případně certifikát nebo jiné autentizační údaje) a čeká na výsledek. | ||
| - | Síťový prvek za dotáže přes autentizační infrastrukturu uživatelovy domácí sítě, zda | ||
| - | jej může vpustit do sítě, a v závislosti na odpovědi buďto povolí nebo zablokuje přístup. | ||
| - | |||
| - | |||
| - | ===== Uživatelský pohled ===== | ||
| - | |||
| - | Před každou cestou, na které je plánováno využití služeb roamingu, je výhodné | ||
| - | se detailně informovat o stavu na dané instituci. Zde je myšleno především jaký | ||
| - | autentizační mechanizmus je použit, jaký je identifikátor sítě (SSID) - občas je | ||
| - | potřeba jej zadat ručně, jaké je pokrytí signálem, atd. Není rovněž od věci | ||
| - | požádat lokálního správce sítě o konzultaci a eventuální nastavení klientského | ||
| - | počítače tak, aby byl připraven na podmínky v hostitelské síti. Snahou pochopitelně | ||
| - | je, aby byl celý systém maximálně unifikovaný a jednoduchý, | ||
| - | tak vždy být nemusí. | ||
| - | Vlastní postup při připojení k síti pak závisí na použitém autentizačním mechanizmu. | ||
| - | |||
| - | ==== Autentizace pomocí 802.1x ==== | ||
| - | |||
| - | Zde je potřeba spustit program **suplikant**, | ||
| - | prvkem sítě. V některých operačních systémech je tento program již pevně zabudován a není | ||
| - | potřeba ho doinstalovávat (WinXP). Do suplikantu se zadají přihlašovací údaje | ||
| - | (jméno/ | ||
| - | k dispozici a k použití. | ||
| - | |||