1 / 14

Formalne aspekty eduroam

Formalne aspekty eduroam. Tomasz Wolniewicz UCI UMK. Definicja eduroam. Celem eduroam jest realizacja romingu w dostępie do Internetu dla użytkowników akademickich sieci komputerowych

red
Download Presentation

Formalne aspekty eduroam

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Formalne aspekty eduroam Tomasz Wolniewicz UCI UMK Tomasz Wolniewicz UCI UMK

  2. Definicja eduroam • Celem eduroam jest realizacja romingu w dostępie do Internetu dla użytkowników akademickich sieci komputerowych • Dostęp do sieci opiera się o bezpieczne mechanizmy uwierzytelniania użytkowników przez ich instytucje macierzyste

  3. Struktura projektu • Podmioty współpracy • instytucja udostępniająca sieć (resource provider) • instytucja uwierzytelniająca (idenity provider) • federacja krajowa • konfederacja (umowa między federacjami krajowymi) • Składniki projektu • hierarchiczna sieć zaufania • system połączeń między serwerami podmiotów (obecnie hierarchiczny system serwerów Radius) • Dokumenty • polityka europejska • polityki krajowe • regulaminy lokalne

  4. Rozwój eduroam • Dwie grupy koordynujące rozwój • TERENA Task Force Mobility – grupa otwarta dla wszystkich • Joint Research Activity 5 – podprojekt projektu GEANT2 – projekt badawczo-rozwojowy mający jako jeden z celów przygotowanie przekształcenia pilotowego projektu eduroam w stabilną usługę • Podstawowe obszary prac • polityka europejska • udostępnianie atrybutów opisujących użytkownika • infrastruktura techniczna

  5. Zarządzanie w skali europejskiej • Konfederacja europejska będzie działać na bazie umów tworzących organizację TERENA • eduroam będzie nadzorowany przez eduroam service group, w której reprezentowane będą wszystkie sieci krajowe biorące udział w projekcie • Zarządzanie eduroam będzie realizowane przez eduroam operational team

  6. Założenia polityki europejskiej - zarządzanie

  7. Założenia polityki europejskiej - bezpieczeństwo eduroam wspiera wyłącznie takie metody uwierzytelniania, które gwarantują, że krytyczne dane (na przykład hasło użytkownika) są transportowane bezpiecznym tunelem bezpośrednio między urządzeniem użytkownika końcowego a serwerem jego instytucji macierzystej

  8. Założenia polityki europejskiej - umowy • W roli krajowej instytucji koordynującej występuje instytucja odpowiedzialna za krajową sieć akademicką • Krajowe instytucje koordynujące podpisują formalne umowy z instytucjami włączającymi się do eduroam • Treść umów wynika z krajowej polityki eduroam oraz europejskiej polityki eduroam

  9. Polska polityka eduroam • Polityka powinna być dopracowana przez polska grupę roboczą eduroam • Polityka powinna bazować na wytycznych załączonych do polityki europejskiej • Instytucją koordynującą powinien być operator sieci PIONIER – PCSS • Obsługę operacyjną, techniczny nadzór nad projektem, reprezentację w międzynarodowych zespołach eduroam realizować będzie UCI UMK

  10. Założenia polityki krajowej- Instytucja udostępniająca sieć • Obowiązki • nieodpłatne udostępnianie sieci • wsparcie dla własnych użytkowników • współpraca z koordynatorem krajowym • utrzymanie strony WWW z informacjami • utrzymywanie logów dokonywanych połączeń • Prawa • dostęp do wsparcia w przypadkach nadużyć • dostęp do wsparcia ze strony krajowej instytucji koordynującej

  11. Założenia polityki krajowej- Instytucja uwierzytelniająca • Obowiązki • utrzymywanie serwera uwierzytelniającego • uwierzytelnianie użytkowników • wsparcie dla uwierzytelnianych użytkowników • współpraca z koordynatorem krajowym w sprawach nadużyć • utrzymywanie logów operacji uwierzytelniania • Prawa • dostęp do wsparcia ze strony krajowej instytucji koordynującej

  12. Założenia polityki krajowej- Aspekty techniczne (1) • Instytucja udostępniająca sieć jako minimum MUSI udostępniać łączność bezprzewodową w standardzie 802.11b • Instytucja udostępniająca sieć MUSI implementować SSID eduroam • SSID eduroam POWINNO być rozgłaszane • Instytucja udostępniająca sieć MUSI implementować standard indywidualnego, dynamicznego klucza WEP lub WPA/TKIP, to drugie rozwiązanie jest preferowane, • Instytucja udostępniająca sieć MOŻE implementować inne systemy uwierzytelnionego dostępu do sieci (np.gniazda Ethernet)

  13. Założenia polityki krajowej- Aspekty techniczne (2) • Instytucja udostępniająca sieć MUSI jako minimum gwarantować dostęp do podstawowych portów usług sieciowych (w tym do IPSec VPN) • Rekomenduje się, aby na potrzeby dostępu gościnnego nie stosować NAT • Instytucja udostępniająca sieć MUSI logować wszystkie zlecenia dotyczące uwierzytelniania i rozliczania oraz transakcje DHCP dotyczące dostępów eduroam • Instytucja uwierzytelniająca MUSI logować wszystkie zlecenia uwierzytelniania • Wszystkie logi muszą być synchronizowane z wiarygodnym źródłem czasu

  14. Rekomendacje dla polskich uczestników eduroam • Nowe instalacje powinny być budowane w oparciu o WPA/TKIP • Instalacja metod uwierzytelniania musi zapewniać weryfikację macierzystego serwera Radius • Użytkownicy powinni być świadomi, aby nigdy nie wprowadzać danych uwierzytelniających do portalu dostępowego • Niezbędne jest filtrowanie atrybutów ustawiających VLAN zarówno na wejściu jak i na wyjściu • w przygotowaniu poprawki oprogramowania i instrukcje

More Related