Erinevus lehekülje "Kuidas akadeemiline asutus saab liituda Eduroam projektiga" redaktsioonide vahel
Allikas: Kuutõrvaja
(Uus lehekülg: '===Sissejuhatus ja mõned punktid mida Eduroam võrguga liitudes tuleb silmas pidada=== eduroam ehk Education Roaming (rändlus akadeemilistes võrkudes) on projekt, mis võimaldab…') |
|||
| 1. rida: | 1. rida: | ||
| − | + | ==Sissejuhatus ja mõned punktid mida Eduroam võrguga liitudes tuleb silmas pidada== | |
eduroam ehk Education Roaming (rändlus akadeemilistes võrkudes) on projekt, mis võimaldab akadeemiliste võrkude kasutajatele vaba juurdepääsu internetile kõigis projektiga ühinenud asutustes. | eduroam ehk Education Roaming (rändlus akadeemilistes võrkudes) on projekt, mis võimaldab akadeemiliste võrkude kasutajatele vaba juurdepääsu internetile kõigis projektiga ühinenud asutustes. | ||
| − | Eduroami globaalse võrguga liitumine annab kaks head asja | + | Eduroami globaalse võrguga liitumine annab kaks head asja |
| + | # Wifi't saab kasutada kõikjal, kus eduroami võrk olemas. Näiteks Amsterdami Ülikoolis külas olev Tartu Ülikooli teadlane saab seal oma tavalise kasutajanime ja parooliga internetti just tänu eduroamile. (http://eduroam.ee/) | ||
| + | # akadeemilised külalised saavad kasutada internetti ilma oma läptoppi ümberhäälestamata. | ||
| − | Eduroami põhjalik kirjeldus ja õpetused on veebis http://www.eduroam.org/ ja sealt Documents | + | Eduroami põhjalik kirjeldus ja õpetused on veebis http://www.eduroam.org/ ja sealt Documents ⇒ Eduroam Cookbook (CB). |
| − | + | ===Mis siis on vaja teha, et asutus osaleks eduroam võrgus?=== | |
| − | + | # Tuleb käivitada oma inimeste autentimine radius-serverilt | |
| − | + | # Häälestada asutuse wifi ligipääsupunktid (AP) | |
| − | + | # Liituda eduroami võrguga | |
| − | + | # Informeerida kasutajaid | |
| − | Täpsemalt | + | Täpsemalt: |
| − | + | #* Radius serveri püstipanemisel on vaja valida autentimise protokollid ja tarkvara. Sõltuvalt sellest, mis kujul paroole hoitakse, saab valida EAP-PEAP-MSCHAPv2 või EAP-TTLS-PAP autentimiste vahel (CB ptk 3.2.3.5 ). Näiteks kui paroolid asuvad unixi passwd failis siis sobib autentimiseks TTLS-PAP, Mõnel pool on paroolid säilitatud NT-hash'ina ja valitud PEAP-MSCHAPv2. Erinevus on ka selles, et TTLS-PAP vajab kliendi windowsi arvutisse lisatarkvara, PEAP ei vaja. | |
| − | + | #* Radiator on tasuline tarkvara, kuid paljud eduroami kasutajad välismaal hindavad just seda. Freeradius on tasuta ja töötab EENeti kogemuste järgi väga hästi. (Vt CB appendix A) | |
| − | Radiator on tasuline tarkvara, kuid paljud eduroami kasutajad välismaal hindavad just seda. (Vt CB appendix A) | + | #* LDAPi kasutamise kohta on CB-s mõned lõigud. |
| − | + | # Wifi AP-d tuleb häälestada autentima oma asutuse radiuse serverilt (802.1X, vt CB 2.2.5, 3.2.6). | |
| − | LDAPi kasutamise kohta on CB-s mõned lõigud. | + | #* Pole oluline, kui server on teises Eesti nurgas - teda vajatakse ainult lühikeseks hetkeks, et otsustada, kas klient võrku lubada. |
| − | + | #* Eduroami võrgustikus on kokkuleppeliselt wifide SSID "eduroam". | |
| − | + | #* Soovitatav on kasutada kõikjal WPA2/AES, sest WPA/TKIP vastu on juba mõned effektiivsed rünnakud leitud. | |
| − | + | #* Paljud AP-d toetavad mitut SSID-i ja VLANi, näiteks sobivad hästi odavad Linksysi purgid DD-WRT tarkvaraga. Siis saab ühe SSID-i jätta näiteks WPA2-PSK ja teise konfida eduroami peale, kui peaks vaja olema. | |
| − | Soovitatav on kasutada kõikjal WPA2/AES, sest WPA/TKIP vastu on juba mõned effektiivsed rünnakud leitud. | + | # Eesti eduroam veebi leiab aadressilt http://eduroam.ee/et.html ja liitumise tingimused http://www.eenet.ee/EENet/eduroam |
| − | + | # Oma kasutajatele on vaja juhendid teha, näiteks stiilis http://www.ut.ee/168593 Kui on käigus TTLS autentimine, oleks hea ka windows arvutitele allalaadimiseks tarkvara pakkuda. | |
| − | Paljud AP-d toetavad mitut SSID-i ja VLANi, näiteks sobivad hästi odavad Linksysi purgid DD-WRT tarkvaraga. Siis saab ühe SSID-i jätta näiteks WPA2-PSK ja teise konfida eduroami peale, kui peaks vaja olema. | ||
| − | |||
| − | |||
| − | ja liitumise tingimused http://www.eenet.ee/EENet/eduroam | ||
| − | |||
| − | |||
| − | Kui on käigus TTLS autentimine, oleks hea ka windows arvutitele allalaadimiseks tarkvara pakkuda. | ||
===Radius serveri seadistus=== | ===Radius serveri seadistus=== | ||
Redaktsioon: 7. oktoober 2009, kell 16:44
Sissejuhatus ja mõned punktid mida Eduroam võrguga liitudes tuleb silmas pidada
eduroam ehk Education Roaming (rändlus akadeemilistes võrkudes) on projekt, mis võimaldab akadeemiliste võrkude kasutajatele vaba juurdepääsu internetile kõigis projektiga ühinenud asutustes.
Eduroami globaalse võrguga liitumine annab kaks head asja
- Wifi't saab kasutada kõikjal, kus eduroami võrk olemas. Näiteks Amsterdami Ülikoolis külas olev Tartu Ülikooli teadlane saab seal oma tavalise kasutajanime ja parooliga internetti just tänu eduroamile. (http://eduroam.ee/)
- akadeemilised külalised saavad kasutada internetti ilma oma läptoppi ümberhäälestamata.
Eduroami põhjalik kirjeldus ja õpetused on veebis http://www.eduroam.org/ ja sealt Documents ⇒ Eduroam Cookbook (CB).
Mis siis on vaja teha, et asutus osaleks eduroam võrgus?
- Tuleb käivitada oma inimeste autentimine radius-serverilt
- Häälestada asutuse wifi ligipääsupunktid (AP)
- Liituda eduroami võrguga
- Informeerida kasutajaid
Täpsemalt:
- Radius serveri püstipanemisel on vaja valida autentimise protokollid ja tarkvara. Sõltuvalt sellest, mis kujul paroole hoitakse, saab valida EAP-PEAP-MSCHAPv2 või EAP-TTLS-PAP autentimiste vahel (CB ptk 3.2.3.5 ). Näiteks kui paroolid asuvad unixi passwd failis siis sobib autentimiseks TTLS-PAP, Mõnel pool on paroolid säilitatud NT-hash'ina ja valitud PEAP-MSCHAPv2. Erinevus on ka selles, et TTLS-PAP vajab kliendi windowsi arvutisse lisatarkvara, PEAP ei vaja.
- Radiator on tasuline tarkvara, kuid paljud eduroami kasutajad välismaal hindavad just seda. Freeradius on tasuta ja töötab EENeti kogemuste järgi väga hästi. (Vt CB appendix A)
- LDAPi kasutamise kohta on CB-s mõned lõigud.
- Wifi AP-d tuleb häälestada autentima oma asutuse radiuse serverilt (802.1X, vt CB 2.2.5, 3.2.6).
- Pole oluline, kui server on teises Eesti nurgas - teda vajatakse ainult lühikeseks hetkeks, et otsustada, kas klient võrku lubada.
- Eduroami võrgustikus on kokkuleppeliselt wifide SSID "eduroam".
- Soovitatav on kasutada kõikjal WPA2/AES, sest WPA/TKIP vastu on juba mõned effektiivsed rünnakud leitud.
- Paljud AP-d toetavad mitut SSID-i ja VLANi, näiteks sobivad hästi odavad Linksysi purgid DD-WRT tarkvaraga. Siis saab ühe SSID-i jätta näiteks WPA2-PSK ja teise konfida eduroami peale, kui peaks vaja olema.
- Eesti eduroam veebi leiab aadressilt http://eduroam.ee/et.html ja liitumise tingimused http://www.eenet.ee/EENet/eduroam
- Oma kasutajatele on vaja juhendid teha, näiteks stiilis http://www.ut.ee/168593 Kui on käigus TTLS autentimine, oleks hea ka windows arvutitele allalaadimiseks tarkvara pakkuda.
Radius serveri seadistus
Vaatleme juhust kui paroolid asuvad unixi passwd failis ja autentimiseks TTLS-PAP
TODO
