Erinevus lehekülje "Kuidas akadeemiline asutus saab liituda Eduroam projektiga" redaktsioonide vahel

Allikas: Kuutõrvaja
(Uus lehekülg: '===Sissejuhatus ja mõned punktid mida Eduroam võrguga liitudes tuleb silmas pidada=== eduroam ehk Education Roaming (rändlus akadeemilistes võrkudes) on projekt, mis võimaldab…')
 
 
(ei näidata 2 kasutaja 39 vahepealset redaktsiooni)
1. rida: 1. rida:
===Sissejuhatus ja mõned punktid mida Eduroam võrguga liitudes tuleb silmas pidada===
+
===Mis siis on vaja teha, et asutus osaleks eduroam võrgus?===
  
eduroam ehk Education Roaming (rändlus akadeemilistes võrkudes) on projekt, mis võimaldab akadeemiliste võrkude kasutajatele vaba juurdepääsu internetile kõigis projektiga ühinenud asutustes.
+
# Tuleb käivitada oma inimeste autentimine radius-serverilt
 +
# Häälestada asutuse wifi ligipääsupunktid (AP)
 +
# Liituda eduroami võrguga
 +
# Informeerida kasutajaid
  
Eduroami globaalse võrguga liitumine annab kaks head asja: 1) Wifi't saab kasutada kõikjal, kus eduroami võrk olemas. Näiteks Amsterdami Ülikoolis külas olev Tartu Ülikooli teadlane saab seal oma tavalise kasutajanime ja parooliga internetti just tänu eduroamile. (http://eduroam.ee/) ja 2) akadeemilised külalised saavad kasutada internetti ilma oma läptoppi ümberhäälestamata. Võib piirduda vaid 1)-ga, kui turvakaalutlused muudmoodi ei luba.
+
Täpsemalt:
  
Eduroami põhjalik kirjeldus ja õpetused on veebis http://www.eduroam.org/ ja sealt Documents -> Eduroam Cookbook (CB).
+
#* Radius serveri püstipanemisel on vaja valida autentimise protokollid ja tarkvara. Sõltuvalt sellest, mis kujul paroole hoitakse, saab valida EAP-PEAP-MSCHAPv2 või EAP-TTLS-PAP autentimiste vahel ('''CB''' ptk 3.2.3.5 ). Näiteks kui paroolid asuvad unixi passwd failis siis sobib autentimiseks vaid TTLS-PAP. Kui paroolid on säilitatud NT-hash'ina, saab kasutada ka PEAP-MSCHAPv2 autentimist. Erinevus on kasutamisel m.h. selles, et TTLS-PAP vajab kliendi windowsi arvutisse lisatarkvara, PEAP ei vaja.
 +
#* Radiator on tasuline tarkvara, kuid paljud eduroami kasutajad välismaal hindavad just seda. Freeradius http://freeradius.org/ on tasuta ja töötab EENeti kogemuste järgi väga hästi. (Vt '''CB''' appendix A)
 +
#* LDAPi kasutamise kohta on CB-s mõned lõigud.
 +
# Wifi AP-d tuleb häälestada autentima oma asutuse radiuse serverilt (802.1X, vt '''CB''' 2.2.5, 3.2.6).
 +
#* Pole oluline kui server on teises Eesti nurgas - teda vajatakse ainult lühikeseks hetkeks, et otsustada, kas klient võrku lubada.
 +
#* Eduroami võrgustikus on kokkuleppeliselt wifide SSID "eduroam".
 +
#* Soovitatav on kasutada kõikjal WPA2/AES, sest WPA/TKIP vastu on juba mõned efektiivsed rünnakud leitud.
 +
#* Paljud AP-d toetavad mitut SSID-i ja VLANi, näiteks odavad Linksysi purgid DD-WRT tarkvaraga. Ühe SSID-i võib jätta näiteks WPA2-PSK ja teise konfida eduroami peale, kui vajadus sunnib jagatud võtmega autentimist alles jätma.
 +
# Võrguga liitumiseks tuleb kontakteeruda EENetiga aadressil eenet@eenet.ee. Lisainfot: Eesti eduroami veebi leiab aadressilt http://eduroam.ee/ ja liitumise tingimused http://www.eenet.ee/EENet/eduroam
 +
# Oma asutuse kasutajatele on vaja juhendid teha, näiteks stiilis http://www.ut.ee/168593. Kui on käigus TTLS autentimine, oleks hea ka windows arvutitele allalaadimiseks tarkvara pakkuda.
  
Põhimõtteliselt on vaja läbi teha järgmised sammud:
+
===Kasulik lisamaterjal===
 
+
* [[Eduroam]]
1. Käivitada oma inimeste autentimine radius-serverilt
+
* [[Eduroami kasutamine linux laptopiga]]
2. Häälestada asutuse wifi
+
* [[Eduroami kasutamiseks Radius server seadistamine]] FreeRadius näitel
3. Liituda eduroami võrguga
 
4. Kasutajate informeerimine
 
 
 
Täpsemalt siis:
 
 
 
1. Radius serveri püstipanemisel on vaja valida autentimise protokollid ja tarkvara. Sõltuvalt sellest, mis kujul paroole hoitakse, saab valida EAP-PEAP-MSCHAPv2 või EAP-TTLS-PAP autentimiste vahel (CB ptk 3.2.3.5 ). Näiteks kui paroolid asuvad unixi passwd failis siis sobib autentimiseks TTLS-PAP, Mõnel pool on  paroolid säilitatud NT-hash'ina ja valitud PEAP-MSCHAPv2. Erinevus on ka selles, et TTLS-PAP vajab kliendi windowsi arvutisse lisatarkvara, PEAP ei vaja. Tehnilisest poolest on veel täpsemalt juttu EENeti veebis http://www.eenet.ee/EENet/eduroam_tehnilisest
 
 
 
Radiator on tasuline tarkvara, kuid paljud eduroami kasutajad välismaal hindavad just seda. (Vt CB appendix A)
 
 
 
LDAPi kasutamise kohta on CB-s mõned lõigud.
 
 
 
2. Wifi AP-d tuleb häälestada autentima oma asutuse radiuse serverilt (802.1X, vt CB 2.2.5, 3.2.6). Pole oluline, kui server on teises Eesti nurgas - teda vajatakse ainult lühikeseks hetkeks, et otsustada, kas klient võrku lubada. Eduroami võrgustikus on kokkuleppeliselt wifide SSID "eduroam".
 
 
 
Soovitatav on kasutada kõikjal WPA2/AES, sest WPA/TKIP vastu on juba mõned effektiivsed rünnakud leitud.
 
 
 
Paljud AP-d toetavad mitut SSID-i ja VLANi, näiteks sobivad hästi odavad Linksysi purgid DD-WRT tarkvaraga. Siis saab ühe SSID-i jätta näiteks WPA2-PSK ja teise konfida eduroami peale, kui peaks vaja olema.
 
 
 
3. Eesti eduroam veebi leiab aadressilt http://eduroam.ee/et.html
 
ja liitumise tingimused http://www.eenet.ee/EENet/eduroam
 
 
 
4. Oma kasutajatele on vaja juhendid teha, näiteks stiilis http://www.ut.ee/168593
 
Kui on käigus TTLS autentimine, oleks hea ka windows arvutitele allalaadimiseks tarkvara pakkuda.
 
 
 
===Radius serveri seadistus===
 
 
 
Vaatleme juhust kui paroolid asuvad unixi passwd failis ja autentimiseks TTLS-PAP
 
 
 
TODO
 

Viimane redaktsioon: 6. juuni 2014, kell 10:45

Mis siis on vaja teha, et asutus osaleks eduroam võrgus?

  1. Tuleb käivitada oma inimeste autentimine radius-serverilt
  2. Häälestada asutuse wifi ligipääsupunktid (AP)
  3. Liituda eduroami võrguga
  4. Informeerida kasutajaid

Täpsemalt:

    • Radius serveri püstipanemisel on vaja valida autentimise protokollid ja tarkvara. Sõltuvalt sellest, mis kujul paroole hoitakse, saab valida EAP-PEAP-MSCHAPv2 või EAP-TTLS-PAP autentimiste vahel (CB ptk 3.2.3.5 ). Näiteks kui paroolid asuvad unixi passwd failis siis sobib autentimiseks vaid TTLS-PAP. Kui paroolid on säilitatud NT-hash'ina, saab kasutada ka PEAP-MSCHAPv2 autentimist. Erinevus on kasutamisel m.h. selles, et TTLS-PAP vajab kliendi windowsi arvutisse lisatarkvara, PEAP ei vaja.
    • Radiator on tasuline tarkvara, kuid paljud eduroami kasutajad välismaal hindavad just seda. Freeradius http://freeradius.org/ on tasuta ja töötab EENeti kogemuste järgi väga hästi. (Vt CB appendix A)
    • LDAPi kasutamise kohta on CB-s mõned lõigud.
  2. Wifi AP-d tuleb häälestada autentima oma asutuse radiuse serverilt (802.1X, vt CB 2.2.5, 3.2.6).
    • Pole oluline kui server on teises Eesti nurgas - teda vajatakse ainult lühikeseks hetkeks, et otsustada, kas klient võrku lubada.
    • Eduroami võrgustikus on kokkuleppeliselt wifide SSID "eduroam".
    • Soovitatav on kasutada kõikjal WPA2/AES, sest WPA/TKIP vastu on juba mõned efektiivsed rünnakud leitud.
    • Paljud AP-d toetavad mitut SSID-i ja VLANi, näiteks odavad Linksysi purgid DD-WRT tarkvaraga. Ühe SSID-i võib jätta näiteks WPA2-PSK ja teise konfida eduroami peale, kui vajadus sunnib jagatud võtmega autentimist alles jätma.
  3. Võrguga liitumiseks tuleb kontakteeruda EENetiga aadressil eenet@eenet.ee. Lisainfot: Eesti eduroami veebi leiab aadressilt http://eduroam.ee/ ja liitumise tingimused http://www.eenet.ee/EENet/eduroam
  4. Oma asutuse kasutajatele on vaja juhendid teha, näiteks stiilis http://www.ut.ee/168593. Kui on käigus TTLS autentimine, oleks hea ka windows arvutitele allalaadimiseks tarkvara pakkuda.

Kasulik lisamaterjal

Pärit leheküljelt "https://kuutorvaja.eenet.ee/w/index.php?title=Kuidas_akadeemiline_asutus_saab_liituda_Eduroam_projektiga&oldid=28318"