Kuidas akadeemiline asutus saab liituda Eduroam projektiga

Allikas: Kuutõrvaja
Redaktsioon seisuga 15. oktoober 2009, kell 15:24 kasutajalt Jj (arutelu | kaastöö)

Sissejuhatus ja mõned punktid mida Eduroam võrguga liitudes tuleb silmas pidada

eduroam ehk Education Roaming (rändlus akadeemilistes võrkudes) on projekt, mis võimaldab akadeemiliste võrkude kasutajatele vaba juurdepääsu internetile kõigis projektiga ühinenud asutustes.

Eduroami globaalse võrguga liitumine annab kaks head asja

  1. Wifi't saab kasutada kõikjal, kus eduroami võrk olemas. Näiteks Amsterdami Ülikoolis külas olev Tartu Ülikooli teadlane saab seal oma tavalise kasutajanime ja parooliga internetti just tänu eduroamile.
  2. Akadeemilised külalised saavad kasutada internetti ilma oma läptoppi ümberhäälestamata.

Põhimõtteliselt illustreerib Eduroami ehitust järgnev skeem 

                          Euroopa globaalsed serverid
                                  /   \
                               /         \
                            /               \
                         /                     \
                      /                          \
                  EENet                        välismaa isp
               /   |    \                          |    \
            /      |      \                        |     \ 
        zoo       UT      kool                   kool1   kool2

Korduvad kasutajanimed lahendatakse seejuures ära kasutades iga saidi puhul tema unikaalse domeeninime kasutusega koos kasutajaga

Eduroami põhjalik kirjeldus ja õpetused on veebis http://www.eduroam.org/ ja sealt DocumentsEduroam Cookbook (edaspidi CB).

Mis siis on vaja teha, et asutus osaleks eduroam võrgus?

  1. Tuleb käivitada oma inimeste autentimine radius-serverilt
  2. Häälestada asutuse wifi ligipääsupunktid (AP)
  3. Liituda eduroami võrguga
  4. Informeerida kasutajaid

Täpsemalt:

    • Radius serveri püstipanemisel on vaja valida autentimise protokollid ja tarkvara. Sõltuvalt sellest, mis kujul paroole hoitakse, saab valida EAP-PEAP-MSCHAPv2 või EAP-TTLS-PAP autentimiste vahel (CB ptk 3.2.3.5 ). Näiteks kui paroolid asuvad unixi passwd failis siis sobib autentimiseks vaid TTLS-PAP. Kui paroolid on säilitatud NT-hash'ina, saab kasutada ka PEAP-MSCHAPv2 autentimist. Erinevus on kasutamisel m.h. selles, et TTLS-PAP vajab kliendi windowsi arvutisse lisatarkvara, PEAP ei vaja.
    • Radiator on tasuline tarkvara, kuid paljud eduroami kasutajad välismaal hindavad just seda. Freeradius http://freeradius.org/ on tasuta ja töötab EENeti kogemuste järgi väga hästi. (Vt CB appendix A)
    • LDAPi kasutamise kohta on CB-s mõned lõigud.
  2. Wifi AP-d tuleb häälestada autentima oma asutuse radiuse serverilt (802.1X, vt CB 2.2.5, 3.2.6).
    • Pole oluline kui server on teises Eesti nurgas - teda vajatakse ainult lühikeseks hetkeks, et otsustada, kas klient võrku lubada.
    • Eduroami võrgustikus on kokkuleppeliselt wifide SSID "eduroam".
    • Soovitatav on kasutada kõikjal WPA2/AES, sest WPA/TKIP vastu on juba mõned efektiivsed rünnakud leitud.
    • Paljud AP-d toetavad mitut SSID-i ja VLANi, näiteks odavad Linksysi purgid DD-WRT tarkvaraga. Ühe SSID-i võib jätta näiteks WPA2-PSK ja teise konfida eduroami peale, kui vajadus sunnib jagatud võtmega autentimist alles jätma.
  3. Võrguga liitumiseks tuleb kontakteeruda EENetiga aadressil eenet@eenet.ee. Lisainfot: Eesti eduroami veebi leiab aadressilt http://eduroam.ee/ ja liitumise tingimused http://www.eenet.ee/EENet/eduroam
  4. Oma asutuse kasutajatele on vaja juhendid teha, näiteks stiilis http://www.ut.ee/168593. Kui on käigus TTLS autentimine, oleks hea ka windows arvutitele allalaadimiseks tarkvara pakkuda.

Radius serveri seadistus

NB! VEEL POOLIK TEKST, kasutamisel võib esinda probleeme

Vaatleme juhust kui paroolid asuvad unixi passwd failis ja autentimiseks TTLS-PAP ning vaja on seadistada radius külge 2 wifi seadet ip'dega 192.168.3.10 ja 192.168.3.20. Kõrgemal asuvateks radius serveriteks kuhu saadame mitte lokaalseid autentimis päringuid ning mis omakorda meilt mõningate serveri lokaalsete kasutajate kohta pärivad mis hetkel mõnes teises võrgusradius.server.ee ja radius2.server.ee

FreeRadius install

  • Redhat, Fedora, CentOS - yum install freeradius
  • Debian, Ubuntu - apt-get install freeradius
  • FreeBSD - cd /usr/ports/net/freeradius && make install clean
  • ...

Edasi peale paigaldamist tuleb liikuda süsteemi etc alla (debian freeradius, redhat, freebsd raddb) radiuse seadistuskausta

clients.conf sisaldab kohalikke wifi seadmeid ning samuti kõrgemal asuvaid radius servereid nt EENeti omi mis saavavad päringuid väljaspool antud wifi võrku asuvate kasutajate autentimiseks 

# EE top-level radiuse serverid mis proxyvad meile väljaspoolt päringuid
client mingivälineipaadress {
        secret          = parool
        shortname       = radius.server.ee
}
client mingivälineipaadress {
        secret          = parool
        shortname       = radius2.server.ee
}

# wifi seadmed, kohalikud ap'd
client 192.168.3.10 {
        secret          = parool1
        shortname       = wifi1
}
client 192.168.3.20 {
        secret          = parool2
        shortname       = wifi2
}

proxy conf, ehk määrang kuhu mis autentimise päringud võrku tulnud kasutajate korral suunatalse 

# kohalikud kasutajad autenditakse lokaalse serveri andmebaasi vastu
realm zoo.tartu.ee {
        type            = radius
        authhost        = LOCAL
        accthost        = LOCAL
}

# kõik päringud mida ei saa lahendada lokaalselt saadetakse edasi .ee top-level radiuse proxy-dele
#
realm DEFAULT {
        type            = radius
        authhost        = radius.server.ee:1812
        accthost        = radius.server.ee:1813
        secret          = parool
        nostrip
}
realm DEFAULT {
        type            = radius
        authhost        = radius2.server.ee:1812
        accthost        = radius2.server.ee:1813
        secret          = parool
        nostrip
}

users

Fail kuhu saab kirjutada kasutajad katsetamiseks, neid tuleb tekitada kujul. 

ants    User-Password == "parool"

radiusd.conf tarkvara peamine seadistusfail. Faili suure mahu tõttu ei hakka seda tervenisti välja tooma vaid ainult muudatused lisaks võib kaotada ära st väljakommenteerida erinevad protokollid ja autentimise mehanismid mis kasutamist ei leia nt ldap, mysql etc. 

authorize {
        preprocess
        auth_log
        mschap
        suffix
        eap
        files
}

authenticate {
       Auth-Type PAP {
               pap
       }
         Auth-Type MS-CHAP {
                mschap
        } 
       unix
}

ja modules sektsiooni 

$INCLUDE ${confdir}/eap.conf

        mschap {
                authtype = MS-CHAP
                use_mppe = yes
                require_encryption = yes
                require_strong = yes
        }

Kontrollida tuleks ,et files blokk oleks samuti olemas, üldiselt peaks default seadistuses see olema

eap.conf peaks sisaldama järgnevat, vaja on eelnevalt genereerida sertifikaadid 

       eap {
               default_eap_type = md5
               timer_expire     = 60
               ignore_unknown_eap_types = no
               cisco_accounting_username_bug = no
               md5 {
               }

               tls {
                       private_key_file = /usr/local/secret/server.key
                       certificate_file = /usr/local/secret/server.crt

                       #  Trusted Root CA list
                       CA_file = ${raddbdir}/certs/SK.pem

                       dh_file = ${raddbdir}/certs/dh
                       random_file = ${raddbdir}/certs/random

                       fragment_size = 1024
                       include_length = yes
               }

               ttls {
                       default_eap_type = md5
               }

               peap {
                       default_eap_type = mschapv2
               }

               mschapv2 {
               }
       }
Pärit leheküljelt "https://kuutorvaja.eenet.ee/w/index.php?title=Kuidas_akadeemiline_asutus_saab_liituda_Eduroam_projektiga&oldid=15873"