Erinevus lehekülje "Kuidas akadeemiline asutus saab liituda Eduroam projektiga" redaktsioonide vahel

Allikas: Kuutõrvaja
 
(ei näidata sama kasutaja 31 vahepealset redaktsiooni)
1. rida: 1. rida:
==Sissejuhatus ja mõned punktid mida Eduroam võrguga liitudes tuleb silmas pidada==
 
 
eduroam ehk Education Roaming (rändlus akadeemilistes võrkudes) on projekt, mis võimaldab akadeemiliste võrkude kasutajatele vaba juurdepääsu internetile kõigis projektiga ühinenud asutustes.
 
 
Eduroami globaalse võrguga liitumine annab kaks head asja
 
# Wifi't saab kasutada kõikjal, kus eduroami võrk olemas. Näiteks Amsterdami Ülikoolis külas olev Tartu Ülikooli teadlane saab seal oma tavalise kasutajanime ja parooliga internetti just tänu eduroamile.
 
# Akadeemilised külalised saavad kasutada internetti ilma oma läptoppi ümberhäälestamata.
 
 
Eduroami põhjalik kirjeldus ja õpetused on veebis http://www.eduroam.org/ ja sealt ''Documents'' ⇒ ''Eduroam Cookbook'' (edaspidi '''CB''').
 
 
 
===Mis siis on vaja teha, et asutus osaleks eduroam võrgus?===
 
===Mis siis on vaja teha, et asutus osaleks eduroam võrgus?===
  
19. rida: 9. rida:
  
 
#* Radius serveri püstipanemisel on vaja valida autentimise protokollid ja tarkvara. Sõltuvalt sellest, mis kujul paroole hoitakse, saab valida EAP-PEAP-MSCHAPv2 või EAP-TTLS-PAP autentimiste vahel ('''CB''' ptk 3.2.3.5 ). Näiteks kui paroolid asuvad unixi passwd failis siis sobib autentimiseks vaid TTLS-PAP. Kui paroolid on säilitatud NT-hash'ina, saab kasutada ka PEAP-MSCHAPv2 autentimist. Erinevus on kasutamisel m.h. selles, et TTLS-PAP vajab kliendi windowsi arvutisse lisatarkvara, PEAP ei vaja.
 
#* Radius serveri püstipanemisel on vaja valida autentimise protokollid ja tarkvara. Sõltuvalt sellest, mis kujul paroole hoitakse, saab valida EAP-PEAP-MSCHAPv2 või EAP-TTLS-PAP autentimiste vahel ('''CB''' ptk 3.2.3.5 ). Näiteks kui paroolid asuvad unixi passwd failis siis sobib autentimiseks vaid TTLS-PAP. Kui paroolid on säilitatud NT-hash'ina, saab kasutada ka PEAP-MSCHAPv2 autentimist. Erinevus on kasutamisel m.h. selles, et TTLS-PAP vajab kliendi windowsi arvutisse lisatarkvara, PEAP ei vaja.
#* Radiator on tasuline tarkvara, kuid paljud eduroami kasutajad välismaal hindavad just seda. Freeradius on tasuta ja töötab EENeti kogemuste järgi väga hästi. (Vt '''CB''' appendix A)
+
#* Radiator on tasuline tarkvara, kuid paljud eduroami kasutajad välismaal hindavad just seda. Freeradius http://freeradius.org/ on tasuta ja töötab EENeti kogemuste järgi väga hästi. (Vt '''CB''' appendix A)
 
#* LDAPi kasutamise kohta on CB-s mõned lõigud.
 
#* LDAPi kasutamise kohta on CB-s mõned lõigud.
 
# Wifi AP-d tuleb häälestada autentima oma asutuse radiuse serverilt (802.1X, vt '''CB''' 2.2.5, 3.2.6).
 
# Wifi AP-d tuleb häälestada autentima oma asutuse radiuse serverilt (802.1X, vt '''CB''' 2.2.5, 3.2.6).
29. rida: 19. rida:
 
# Oma asutuse kasutajatele on vaja juhendid teha, näiteks stiilis http://www.ut.ee/168593. Kui on käigus TTLS autentimine, oleks hea ka windows arvutitele allalaadimiseks tarkvara pakkuda.
 
# Oma asutuse kasutajatele on vaja juhendid teha, näiteks stiilis http://www.ut.ee/168593. Kui on käigus TTLS autentimine, oleks hea ka windows arvutitele allalaadimiseks tarkvara pakkuda.
  
===Radius serveri seadistus===
+
===Kasulik lisamaterjal===
 
+
* [[Eduroam]]
Vaatleme juhust kui paroolid asuvad unixi passwd failis ja autentimiseks TTLS-PAP
+
* [[Eduroami kasutamine linux laptopiga]]
 
+
* [[Eduroami kasutamiseks Radius server seadistamine]] FreeRadius näitel
FreeRadius install
 
 
 
*Redhat, Fedora, CentOSD - yum install freeradius
 
*Debian, Ubuntu - apt-get install freeradius
 
*FreeBSD - cd /usr/ports/net/freeradius && make install clean
 
 
 
Edasi peale paigaldamist tuleb liikuda süsteemi etc alla (debian freeradius, redhat, freebsd raddb) radiuse seadistuskausta
 
 
 
clients.conf'i lähevad kirja wifi seadmed näiteks kujul
 
 
 
client 192.168.3.10 {
 
        secret          = parool1
 
        shortname      = wifi1
 
}
 
client 192.168.3.10 {
 
        secret          = parool2
 
        shortname      = wifi2
 
}
 
 
 
proxy conf, ehk määrang kuhu mis autentimise päringud suunatalse
 
 
 
# kohalikud kasutajad autenditakse lokaalse serveri andmebaasi vastu
 
realm zoo.tartu.ee {
 
        type            = radius
 
        authhost        = LOCAL
 
        accthost        = LOCAL
 
}
 
 
# kõik päringud mida ei saa lahendada lokaalselt saadetakse edasi .ee top-level radiuse proxy-dele
 
#
 
realm DEFAULT {
 
        type            = radius
 
        authhost        = radius.server.ee:1812
 
        accthost        = radius.server.ee:1813
 
        secret          = parool
 
        nostrip
 
}
 
realm DEFAULT {
 
        type            = radius
 
        authhost        = radius2.server.ee:1812
 
        accthost        = radius2.server.ee:1813
 
        secret          = parool
 
        nostrip
 
}
 
 
 
radiusd.conf lokaalsed kasutajad
 
 
 
authorize {
 
        preprocess
 
        auth_log
 
        mschap
 
        suffix
 
        eap
 
        files
 
}
 
 
authenticate {
 
        Auth-Type PAP {
 
                pap
 
        }
 
 
        Auth-Type MS-CHAP {
 
                mschap
 
        }
 
        unix
 
}
 
 
 
 
 
 
 
http://www.eduroam.be/index.php?module=pagemaster&PAGE_user_op=view_page&PAGE_id=11&MMN_position=11:5:9
 

Viimane redaktsioon: 6. juuni 2014, kell 10:45

Mis siis on vaja teha, et asutus osaleks eduroam võrgus?

  1. Tuleb käivitada oma inimeste autentimine radius-serverilt
  2. Häälestada asutuse wifi ligipääsupunktid (AP)
  3. Liituda eduroami võrguga
  4. Informeerida kasutajaid

Täpsemalt:

    • Radius serveri püstipanemisel on vaja valida autentimise protokollid ja tarkvara. Sõltuvalt sellest, mis kujul paroole hoitakse, saab valida EAP-PEAP-MSCHAPv2 või EAP-TTLS-PAP autentimiste vahel (CB ptk 3.2.3.5 ). Näiteks kui paroolid asuvad unixi passwd failis siis sobib autentimiseks vaid TTLS-PAP. Kui paroolid on säilitatud NT-hash'ina, saab kasutada ka PEAP-MSCHAPv2 autentimist. Erinevus on kasutamisel m.h. selles, et TTLS-PAP vajab kliendi windowsi arvutisse lisatarkvara, PEAP ei vaja.
    • Radiator on tasuline tarkvara, kuid paljud eduroami kasutajad välismaal hindavad just seda. Freeradius http://freeradius.org/ on tasuta ja töötab EENeti kogemuste järgi väga hästi. (Vt CB appendix A)
    • LDAPi kasutamise kohta on CB-s mõned lõigud.
  2. Wifi AP-d tuleb häälestada autentima oma asutuse radiuse serverilt (802.1X, vt CB 2.2.5, 3.2.6).
    • Pole oluline kui server on teises Eesti nurgas - teda vajatakse ainult lühikeseks hetkeks, et otsustada, kas klient võrku lubada.
    • Eduroami võrgustikus on kokkuleppeliselt wifide SSID "eduroam".
    • Soovitatav on kasutada kõikjal WPA2/AES, sest WPA/TKIP vastu on juba mõned efektiivsed rünnakud leitud.
    • Paljud AP-d toetavad mitut SSID-i ja VLANi, näiteks odavad Linksysi purgid DD-WRT tarkvaraga. Ühe SSID-i võib jätta näiteks WPA2-PSK ja teise konfida eduroami peale, kui vajadus sunnib jagatud võtmega autentimist alles jätma.
  3. Võrguga liitumiseks tuleb kontakteeruda EENetiga aadressil eenet@eenet.ee. Lisainfot: Eesti eduroami veebi leiab aadressilt http://eduroam.ee/ ja liitumise tingimused http://www.eenet.ee/EENet/eduroam
  4. Oma asutuse kasutajatele on vaja juhendid teha, näiteks stiilis http://www.ut.ee/168593. Kui on käigus TTLS autentimine, oleks hea ka windows arvutitele allalaadimiseks tarkvara pakkuda.

Kasulik lisamaterjal

Pärit leheküljelt "https://kuutorvaja.eenet.ee/w/index.php?title=Kuidas_akadeemiline_asutus_saab_liituda_Eduroam_projektiga&oldid=28318"