Erinevus lehekülje "Kuidas akadeemiline asutus saab liituda Eduroam projektiga" redaktsioonide vahel

Allikas: Kuutõrvaja
26. rida: 26. rida:
 
#* Soovitatav on kasutada kõikjal WPA2/AES, sest WPA/TKIP vastu on juba mõned efektiivsed rünnakud leitud.
 
#* Soovitatav on kasutada kõikjal WPA2/AES, sest WPA/TKIP vastu on juba mõned efektiivsed rünnakud leitud.
 
#* Paljud AP-d toetavad mitut SSID-i ja VLANi, näiteks odavad Linksysi purgid DD-WRT tarkvaraga. Ühe SSID-i võib jätta näiteks WPA2-PSK ja teise konfida eduroami peale, kui vajadus sunnib jagatud võtmega autentimist alles jätma.
 
#* Paljud AP-d toetavad mitut SSID-i ja VLANi, näiteks odavad Linksysi purgid DD-WRT tarkvaraga. Ühe SSID-i võib jätta näiteks WPA2-PSK ja teise konfida eduroami peale, kui vajadus sunnib jagatud võtmega autentimist alles jätma.
# Oma kasutajatele on vaja juhendid teha, näiteks stiilis http://www.ut.ee/168593. Kui on käigus TTLS autentimine, oleks hea ka windows arvutitele allalaadimiseks tarkvara pakkuda.
+
# Võrguga liitumiseks tuleb kontakteeruda EENetiga aadressil eenet@eenet.ee. Lisainfot: Eesti eduroami veebi leiab aadressilt http://eduroam.ee/ ja liitumise tingimused http://www.eenet.ee/EENet/eduroam
# Eesti eduroam veebi leiab aadressilt http://eduroam.ee/et.html ja liitumise tingimused http://www.eenet.ee/EENet/eduroam
+
# Oma asutuse kasutajatele on vaja juhendid teha, näiteks stiilis http://www.ut.ee/168593. Kui on käigus TTLS autentimine, oleks hea ka windows arvutitele allalaadimiseks tarkvara pakkuda.
  
 
===Radius serveri seadistus===
 
===Radius serveri seadistus===

Redaktsioon: 7. oktoober 2009, kell 16:13

Sissejuhatus ja mõned punktid mida Eduroam võrguga liitudes tuleb silmas pidada

eduroam ehk Education Roaming (rändlus akadeemilistes võrkudes) on projekt, mis võimaldab akadeemiliste võrkude kasutajatele vaba juurdepääsu internetile kõigis projektiga ühinenud asutustes.

Eduroami globaalse võrguga liitumine annab kaks head asja

  1. Wifi't saab kasutada kõikjal, kus eduroami võrk olemas. Näiteks Amsterdami Ülikoolis külas olev Tartu Ülikooli teadlane saab seal oma tavalise kasutajanime ja parooliga internetti just tänu eduroamile.
  2. Akadeemilised külalised saavad kasutada internetti ilma oma läptoppi ümberhäälestamata.

Eduroami põhjalik kirjeldus ja õpetused on veebis http://www.eduroam.org/ ja sealt DocumentsEduroam Cookbook (edaspidi CB).

Mis siis on vaja teha, et asutus osaleks eduroam võrgus?

  1. Tuleb käivitada oma inimeste autentimine radius-serverilt
  2. Häälestada asutuse wifi ligipääsupunktid (AP)
  3. Liituda eduroami võrguga
  4. Informeerida kasutajaid

Täpsemalt:

    • Radius serveri püstipanemisel on vaja valida autentimise protokollid ja tarkvara. Sõltuvalt sellest, mis kujul paroole hoitakse, saab valida EAP-PEAP-MSCHAPv2 või EAP-TTLS-PAP autentimiste vahel (CB ptk 3.2.3.5 ). Näiteks kui paroolid asuvad unixi passwd failis siis sobib autentimiseks vaid TTLS-PAP. Kui paroolid on säilitatud NT-hash'ina, saab kasutada ka PEAP-MSCHAPv2 autentimist. Erinevus on kasutamisel m.h. selles, et TTLS-PAP vajab kliendi windowsi arvutisse lisatarkvara, PEAP ei vaja.
    • Radiator on tasuline tarkvara, kuid paljud eduroami kasutajad välismaal hindavad just seda. Freeradius on tasuta ja töötab EENeti kogemuste järgi väga hästi. (Vt CB appendix A)
    • LDAPi kasutamise kohta on CB-s mõned lõigud.
  1. Wifi AP-d tuleb häälestada autentima oma asutuse radiuse serverilt (802.1X, vt CB 2.2.5, 3.2.6).
    • Pole oluline kui server on teises Eesti nurgas - teda vajatakse ainult lühikeseks hetkeks, et otsustada, kas klient võrku lubada.
    • Eduroami võrgustikus on kokkuleppeliselt wifide SSID "eduroam".
    • Soovitatav on kasutada kõikjal WPA2/AES, sest WPA/TKIP vastu on juba mõned efektiivsed rünnakud leitud.
    • Paljud AP-d toetavad mitut SSID-i ja VLANi, näiteks odavad Linksysi purgid DD-WRT tarkvaraga. Ühe SSID-i võib jätta näiteks WPA2-PSK ja teise konfida eduroami peale, kui vajadus sunnib jagatud võtmega autentimist alles jätma.
  2. Võrguga liitumiseks tuleb kontakteeruda EENetiga aadressil eenet@eenet.ee. Lisainfot: Eesti eduroami veebi leiab aadressilt http://eduroam.ee/ ja liitumise tingimused http://www.eenet.ee/EENet/eduroam
  3. Oma asutuse kasutajatele on vaja juhendid teha, näiteks stiilis http://www.ut.ee/168593. Kui on käigus TTLS autentimine, oleks hea ka windows arvutitele allalaadimiseks tarkvara pakkuda.

Radius serveri seadistus

Vaatleme juhust kui paroolid asuvad unixi passwd failis ja autentimiseks TTLS-PAP

TODO