Kuidas akadeemiline asutus saab liituda Eduroam projektiga

Allikas: Kuutõrvaja
Redaktsioon seisuga 6. oktoober 2009, kell 16:02 kasutajalt Jj (arutelu | kaastöö) (Uus lehekülg: '===Sissejuhatus ja mõned punktid mida Eduroam võrguga liitudes tuleb silmas pidada=== eduroam ehk Education Roaming (rändlus akadeemilistes võrkudes) on projekt, mis võimaldab…')
(erin) ←Vanem redaktsioon | Viimane redaktsiooni (erin) | Uuem redaktsioon→ (erin)

Sissejuhatus ja mõned punktid mida Eduroam võrguga liitudes tuleb silmas pidada

eduroam ehk Education Roaming (rändlus akadeemilistes võrkudes) on projekt, mis võimaldab akadeemiliste võrkude kasutajatele vaba juurdepääsu internetile kõigis projektiga ühinenud asutustes.

Eduroami globaalse võrguga liitumine annab kaks head asja: 1) Wifi't saab kasutada kõikjal, kus eduroami võrk olemas. Näiteks Amsterdami Ülikoolis külas olev Tartu Ülikooli teadlane saab seal oma tavalise kasutajanime ja parooliga internetti just tänu eduroamile. (http://eduroam.ee/) ja 2) akadeemilised külalised saavad kasutada internetti ilma oma läptoppi ümberhäälestamata. Võib piirduda vaid 1)-ga, kui turvakaalutlused muudmoodi ei luba.

Eduroami põhjalik kirjeldus ja õpetused on veebis http://www.eduroam.org/ ja sealt Documents -> Eduroam Cookbook (CB).

Põhimõtteliselt on vaja läbi teha järgmised sammud: 

1. Käivitada oma inimeste autentimine radius-serverilt
2. Häälestada asutuse wifi
3. Liituda eduroami võrguga
4. Kasutajate informeerimine

Täpsemalt siis:

1. Radius serveri püstipanemisel on vaja valida autentimise protokollid ja tarkvara. Sõltuvalt sellest, mis kujul paroole hoitakse, saab valida EAP-PEAP-MSCHAPv2 või EAP-TTLS-PAP autentimiste vahel (CB ptk 3.2.3.5 ). Näiteks kui paroolid asuvad unixi passwd failis siis sobib autentimiseks TTLS-PAP, Mõnel pool on paroolid säilitatud NT-hash'ina ja valitud PEAP-MSCHAPv2. Erinevus on ka selles, et TTLS-PAP vajab kliendi windowsi arvutisse lisatarkvara, PEAP ei vaja. Tehnilisest poolest on veel täpsemalt juttu EENeti veebis http://www.eenet.ee/EENet/eduroam_tehnilisest

Radiator on tasuline tarkvara, kuid paljud eduroami kasutajad välismaal hindavad just seda. (Vt CB appendix A)

LDAPi kasutamise kohta on CB-s mõned lõigud.

2. Wifi AP-d tuleb häälestada autentima oma asutuse radiuse serverilt (802.1X, vt CB 2.2.5, 3.2.6). Pole oluline, kui server on teises Eesti nurgas - teda vajatakse ainult lühikeseks hetkeks, et otsustada, kas klient võrku lubada. Eduroami võrgustikus on kokkuleppeliselt wifide SSID "eduroam".

Soovitatav on kasutada kõikjal WPA2/AES, sest WPA/TKIP vastu on juba mõned effektiivsed rünnakud leitud.

Paljud AP-d toetavad mitut SSID-i ja VLANi, näiteks sobivad hästi odavad Linksysi purgid DD-WRT tarkvaraga. Siis saab ühe SSID-i jätta näiteks WPA2-PSK ja teise konfida eduroami peale, kui peaks vaja olema.

3. Eesti eduroam veebi leiab aadressilt http://eduroam.ee/et.html ja liitumise tingimused http://www.eenet.ee/EENet/eduroam

4. Oma kasutajatele on vaja juhendid teha, näiteks stiilis http://www.ut.ee/168593 Kui on käigus TTLS autentimine, oleks hea ka windows arvutitele allalaadimiseks tarkvara pakkuda.

Radius serveri seadistus

Vaatleme juhust kui paroolid asuvad unixi passwd failis ja autentimiseks TTLS-PAP

TODO

Pärit leheküljelt "https://kuutorvaja.eenet.ee/w/index.php?title=Kuidas_akadeemiline_asutus_saab_liituda_Eduroam_projektiga&oldid=15646"