Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

Obě strany předchozí revize Předchozí verze
cs:uzivatel:fungovani_roamingu [2017/03/12 09:59] semik@cesnet.czcs:uzivatel:fungovani_roamingu [2024/01/15 09:48] (aktuální) – odstraněno Jan Čáslavský
Řádek 1: Řádek 1:
-12.3.2017 ZASTARALE OSTRANENO Z NAVIGACE 
- 
-====== Jednoduchý popis fungování roamingu a mobility pro uživatele ====== 
- 
-Hlavní motivací pro vznik roamingu mezi organizacemi v rámci české NREN je 
-bezesporu snaha umožnit uživatelům zcela transparentní přístup k síti v co 
-možná největším počtu lokalit. Mít možnost dostat se na Internet nejen z 
-univerzity, na které pracuji/studuji, ale i z jiné, kam jsem přijel jen na krátkou 
-dobu, atp. To je cílem mobility a roamingu, který se neomezuje jen na ČR, na  
-roamingu v současné době spolupracuje mnoho zemí v rámci celé EU. 
-Uvažujme modelovou situaci, kdy uživatel z organizace A přijede na návštěvu do  
-organizace B a chce využívat její síť (tento model je nejvíce patrný na příkladu  
-bezdrátových sítí, ale situace se musí chápat obecně - nejen wifi, ale i kabelové sítě, term 
-inálové haly, ...). 
-Uživatel má pouze jedinou identitu (uživatelský účet vedený ve své domácí  
-instituci) a s ní je schopen přihlášení do kterékoli spolupracující sítě. 
-Celý systém je postaven tak, že na základě uživatelského jména jsou autentizační 
-dotazy posílány do uživatelovy domovské sítě. Tam je rozhodnuto, zda je uživatel 
-tím, za kterého se vydává, a zda má právo přístupu. Tato informace je přenesena 
-zpět do navštívené sítě a přístupový mechanizmus (AP, switch, ...) se podle ní 
-zařídí - buďto uživatele do sítě vpustí nebo jeho požadavek zamítne. Pro funkci takto 
-nastíněného systému jsou nezbytné dvě věci. Uživatelské jméno, které v sobě nese 
-informaci, odkud uživatel pochází, a autentizační infrastruktura, která je schopna 
-přenášet autentizační data. 
-Tvar uživatelského jména má proto následující syntaxi: "jmeno@realm". Jméno je 
-běžné uživatelské jméno platné v rámci dané instituce a realm určuje, o jakou 
-organizaci jde. Tento tvar je velmi podobný formátu adresy elektronické pošty a 
-je podobný i významově. Konvence realmu je převzata ze systému DNS a je rovněž 
-hierarchická. Pro organizace v rámci ČR končí realm koncovkou ".cz". Příklad  
-uživatelského jména zaměstnance CESNETu tedy může být novak@cesnet.cz.  
-Hlavním úkolem autentizační infrastruktury (AAI - autentication and authorization 
-infrastructure) je nasměrovat ověřovací údaje do domácí sítě daného uživatele a 
-přenést odpověď zpět na systém, který se dotazuje. Toto vše učinit bezpečně a  
-spolehlivě. V současné době je AAI tvořena stromovou hierarchií RADIUS serverů. 
-Pro ověřování uživatelů pro přístup do sítě se v současné době používají tři hlavní 
-mechanizmy: 
- 
-===== Autentizace na bázi protokolu 802.1x ===== 
- 
-Tento způsob ověření je založen na schopnosti přístupového prvku (access point nebo 
-switch) řídit provoz na jednotlivých portech. Uživatel se připojí k síti, ale  
-veškerý datový provoz je blokován s výjimkou autentizačního protokolu. Klientský 
-počítač (vybavený speciálním programem **suplikant**, který je  
-schopen předávat autentizační data) pošle síťovému prvku informace o uživateli 
-(jméno, heslo, případně certifikát nebo jiné autentizační údaje) a čeká na výsledek. 
-Síťový prvek za dotáže přes autentizační infrastrukturu uživatelovy domácí sítě, zda 
-jej může vpustit do sítě, a v závislosti na odpovědi buďto povolí nebo zablokuje přístup. 
- 
- 
-===== Uživatelský pohled ===== 
- 
-Před každou cestou, na které je plánováno využití služeb roamingu, je výhodné 
-se detailně informovat o stavu na dané instituci. Zde je myšleno především jaký 
-autentizační mechanizmus je použit, jaký je identifikátor sítě (SSID) - občas je 
-potřeba jej zadat ručně, jaké je pokrytí signálem, atd. Není rovněž od věci 
-požádat lokálního správce sítě o konzultaci a eventuální nastavení klientského 
-počítače tak, aby byl připraven na podmínky v hostitelské síti. Snahou pochopitelně 
-je, aby byl celý systém maximálně unifikovaný a jednoduchý, ale v počátcích tomu 
-tak vždy být nemusí. 
-Vlastní postup při připojení k síti pak závisí na použitém autentizačním mechanizmu. 
- 
-==== Autentizace pomocí 802.1x ==== 
- 
-Zde je potřeba spustit program **suplikant**, který zajistí komunikaci s aktivním 
-prvkem sítě. V některých operačních systémech je tento program již pevně zabudován a není 
-potřeba ho doinstalovávat (WinXP). Do suplikantu se zadají přihlašovací údaje 
-(jméno/heslo) a pak již vše závisí na průběhu ověření. Pokud vše proběhne v pořádku, je síť  
-k dispozici a k použití. 
-