Erinevus lehekülje "Kuidas akadeemiline asutus saab liituda Eduroam projektiga" redaktsioonide vahel

Allikas: Kuutõrvaja
 
(ei näidata sama kasutaja 24 vahepealset redaktsiooni)
1. rida: 1. rida:
==Sissejuhatus ja mõned punktid mida Eduroam võrguga liitudes tuleb silmas pidada==
 
 
eduroam ehk Education Roaming (rändlus akadeemilistes võrkudes) on projekt, mis võimaldab akadeemiliste võrkude kasutajatele vaba juurdepääsu internetile kõigis projektiga ühinenud asutustes.
 
 
Eduroami globaalse võrguga liitumine annab kaks head asja
 
# Wifi't saab kasutada kõikjal, kus eduroami võrk olemas. Näiteks Amsterdami Ülikoolis külas olev Tartu Ülikooli teadlane saab seal oma tavalise kasutajanime ja parooliga internetti just tänu eduroamile.
 
# Akadeemilised külalised saavad kasutada internetti ilma oma läptoppi ümberhäälestamata.
 
 
Eduroami põhjalik kirjeldus ja õpetused on veebis http://www.eduroam.org/ ja sealt ''Documents'' ⇒ ''Eduroam Cookbook'' (edaspidi '''CB''').
 
 
 
===Mis siis on vaja teha, et asutus osaleks eduroam võrgus?===
 
===Mis siis on vaja teha, et asutus osaleks eduroam võrgus?===
  
19. rida: 9. rida:
  
 
#* Radius serveri püstipanemisel on vaja valida autentimise protokollid ja tarkvara. Sõltuvalt sellest, mis kujul paroole hoitakse, saab valida EAP-PEAP-MSCHAPv2 või EAP-TTLS-PAP autentimiste vahel ('''CB''' ptk 3.2.3.5 ). Näiteks kui paroolid asuvad unixi passwd failis siis sobib autentimiseks vaid TTLS-PAP. Kui paroolid on säilitatud NT-hash'ina, saab kasutada ka PEAP-MSCHAPv2 autentimist. Erinevus on kasutamisel m.h. selles, et TTLS-PAP vajab kliendi windowsi arvutisse lisatarkvara, PEAP ei vaja.
 
#* Radius serveri püstipanemisel on vaja valida autentimise protokollid ja tarkvara. Sõltuvalt sellest, mis kujul paroole hoitakse, saab valida EAP-PEAP-MSCHAPv2 või EAP-TTLS-PAP autentimiste vahel ('''CB''' ptk 3.2.3.5 ). Näiteks kui paroolid asuvad unixi passwd failis siis sobib autentimiseks vaid TTLS-PAP. Kui paroolid on säilitatud NT-hash'ina, saab kasutada ka PEAP-MSCHAPv2 autentimist. Erinevus on kasutamisel m.h. selles, et TTLS-PAP vajab kliendi windowsi arvutisse lisatarkvara, PEAP ei vaja.
#* Radiator on tasuline tarkvara, kuid paljud eduroami kasutajad välismaal hindavad just seda. Freeradius on tasuta ja töötab EENeti kogemuste järgi väga hästi. (Vt '''CB''' appendix A)
+
#* Radiator on tasuline tarkvara, kuid paljud eduroami kasutajad välismaal hindavad just seda. Freeradius http://freeradius.org/ on tasuta ja töötab EENeti kogemuste järgi väga hästi. (Vt '''CB''' appendix A)
 
#* LDAPi kasutamise kohta on CB-s mõned lõigud.
 
#* LDAPi kasutamise kohta on CB-s mõned lõigud.
 
# Wifi AP-d tuleb häälestada autentima oma asutuse radiuse serverilt (802.1X, vt '''CB''' 2.2.5, 3.2.6).
 
# Wifi AP-d tuleb häälestada autentima oma asutuse radiuse serverilt (802.1X, vt '''CB''' 2.2.5, 3.2.6).
29. rida: 19. rida:
 
# Oma asutuse kasutajatele on vaja juhendid teha, näiteks stiilis http://www.ut.ee/168593. Kui on käigus TTLS autentimine, oleks hea ka windows arvutitele allalaadimiseks tarkvara pakkuda.
 
# Oma asutuse kasutajatele on vaja juhendid teha, näiteks stiilis http://www.ut.ee/168593. Kui on käigus TTLS autentimine, oleks hea ka windows arvutitele allalaadimiseks tarkvara pakkuda.
  
===Radius serveri seadistus===
+
===Kasulik lisamaterjal===
 
+
* [[Eduroam]]
Vaatleme juhust kui paroolid asuvad unixi passwd failis ja autentimiseks TTLS-PAP
+
* [[Eduroami kasutamine linux laptopiga]]
 
+
* [[Eduroami kasutamiseks Radius server seadistamine]] FreeRadius näitel
FreeRadius install
 
 
 
*Redhat, Fedora, CentOSD - yum install freeradius
 
*Debian, Ubuntu - apt-get install freeradius
 
*FreeBSD - cd /usr/ports/net/freeradius && make install clean
 
 
 
Edasi peale paigaldamist tuleb liikuda süsteemi etc alla (debian freeradius, redhat, freebsd raddb) radiuse seadistuskausta
 
 
 
'''clients.conf'''
 
 
 
# EE top-level radiuse serverid mis proxyvad meile väljaspoolt päringuid
 
client mingivälineipaadress {
 
        secret          = parool
 
        shortname      = radius.server.ee
 
}
 
client mingivälineipaadress {
 
        secret          = parool
 
        shortname      = radius2.server.ee
 
}
 
 
 
# wifi seadmed, kohalikud ap'd
 
client 192.168.3.10 {
 
        secret          = parool1
 
        shortname      = wifi1
 
}
 
client 192.168.3.10 {
 
        secret          = parool2
 
        shortname      = wifi2
 
}
 
 
 
'''proxy conf,''' ehk määrang kuhu mis autentimise päringud suunatalse
 
 
 
 
 
# kohalikud kasutajad autenditakse lokaalse serveri andmebaasi vastu
 
realm zoo.tartu.ee {
 
        type            = radius
 
        authhost        = LOCAL
 
        accthost        = LOCAL
 
}
 
 
# kõik päringud mida ei saa lahendada lokaalselt saadetakse edasi .ee top-level radiuse proxy-dele
 
#
 
realm DEFAULT {
 
        type            = radius
 
        authhost        = radius.server.ee:1812
 
        accthost        = radius.server.ee:1813
 
        secret          = parool
 
        nostrip
 
}
 
realm DEFAULT {
 
        type            = radius
 
        authhost        = radius2.server.ee:1812
 
        accthost        = radius2.server.ee:1813
 
        secret          = parool
 
        nostrip
 
}
 
 
 
'''users'''
 
 
 
siia saab kirjutada kasutajad otse kujul
 
 
 
ants    User-Password == "parool"
 
 
 
'''radiusd.conf''' autentimine paika, järgnevalt mõned peamised muudatused mida vaja teha failis
 
 
 
authorize {
 
        preprocess
 
        auth_log
 
        mschap
 
        suffix
 
        eap
 
        files
 
}
 
 
authenticate {
 
        Auth-Type PAP {
 
                pap
 
        }
 
          Auth-Type MS-CHAP {
 
                mschap
 
        }
 
        unix
 
}
 
 
 
ja modules sektsiooni
 
 
 
$INCLUDE ${confdir}/eap.conf
 
 
        mschap {
 
                authtype = MS-CHAP
 
                use_mppe = yes
 
                require_encryption = yes
 
                require_strong = yes
 
        }
 
 
 
Kontrollida tuleks ,et files blokk oleks samuti olemas, üldiselt peaks default seadistuses see olema
 
 
 
'''eap.conf''' peaks sisaldama järgnevat
 
 
 
        eap {
 
                default_eap_type = md5
 
                timer_expire    = 60
 
                ignore_unknown_eap_types = no
 
                cisco_accounting_username_bug = no
 
                md5 {
 
                }
 
 
                tls {
 
                        private_key_file = /usr/local/secret/server.key
 
                        certificate_file = /usr/local/secret/server.crt
 
 
                        #  Trusted Root CA list
 
                        CA_file = ${raddbdir}/certs/SK.pem
 
 
                        dh_file = ${raddbdir}/certs/dh
 
                        random_file = ${raddbdir}/certs/random
 
 
                        fragment_size = 1024
 
                        include_length = yes
 
                }
 
 
                ttls {
 
                        default_eap_type = md5
 
                }
 
 
                peap {
 
                        default_eap_type = mschapv2
 
                }
 
 
                mschapv2 {
 
                }
 
        }
 

Viimane redaktsioon: 6. juuni 2014, kell 10:45

Mis siis on vaja teha, et asutus osaleks eduroam võrgus?

  1. Tuleb käivitada oma inimeste autentimine radius-serverilt
  2. Häälestada asutuse wifi ligipääsupunktid (AP)
  3. Liituda eduroami võrguga
  4. Informeerida kasutajaid

Täpsemalt:

    • Radius serveri püstipanemisel on vaja valida autentimise protokollid ja tarkvara. Sõltuvalt sellest, mis kujul paroole hoitakse, saab valida EAP-PEAP-MSCHAPv2 või EAP-TTLS-PAP autentimiste vahel (CB ptk 3.2.3.5 ). Näiteks kui paroolid asuvad unixi passwd failis siis sobib autentimiseks vaid TTLS-PAP. Kui paroolid on säilitatud NT-hash'ina, saab kasutada ka PEAP-MSCHAPv2 autentimist. Erinevus on kasutamisel m.h. selles, et TTLS-PAP vajab kliendi windowsi arvutisse lisatarkvara, PEAP ei vaja.
    • Radiator on tasuline tarkvara, kuid paljud eduroami kasutajad välismaal hindavad just seda. Freeradius http://freeradius.org/ on tasuta ja töötab EENeti kogemuste järgi väga hästi. (Vt CB appendix A)
    • LDAPi kasutamise kohta on CB-s mõned lõigud.
  2. Wifi AP-d tuleb häälestada autentima oma asutuse radiuse serverilt (802.1X, vt CB 2.2.5, 3.2.6).
    • Pole oluline kui server on teises Eesti nurgas - teda vajatakse ainult lühikeseks hetkeks, et otsustada, kas klient võrku lubada.
    • Eduroami võrgustikus on kokkuleppeliselt wifide SSID "eduroam".
    • Soovitatav on kasutada kõikjal WPA2/AES, sest WPA/TKIP vastu on juba mõned efektiivsed rünnakud leitud.
    • Paljud AP-d toetavad mitut SSID-i ja VLANi, näiteks odavad Linksysi purgid DD-WRT tarkvaraga. Ühe SSID-i võib jätta näiteks WPA2-PSK ja teise konfida eduroami peale, kui vajadus sunnib jagatud võtmega autentimist alles jätma.
  3. Võrguga liitumiseks tuleb kontakteeruda EENetiga aadressil eenet@eenet.ee. Lisainfot: Eesti eduroami veebi leiab aadressilt http://eduroam.ee/ ja liitumise tingimused http://www.eenet.ee/EENet/eduroam
  4. Oma asutuse kasutajatele on vaja juhendid teha, näiteks stiilis http://www.ut.ee/168593. Kui on käigus TTLS autentimine, oleks hea ka windows arvutitele allalaadimiseks tarkvara pakkuda.

Kasulik lisamaterjal

Pärit leheküljelt "https://kuutorvaja.eenet.ee/w/index.php?title=Kuidas_akadeemiline_asutus_saab_liituda_Eduroam_projektiga&oldid=28318"