Anbindung der Max-Planck-Institute am globalen Roaming

1. Anbindung der Max-Planck-Institute am globalen Roaming Andreas Ißleiber(aisslei@gwdg.de) http://www.gwdg.de/~aisslei

2. EDUROAM: Was ist das ? • EduRoam = (Education Roaming) http://www.dfn.de/dienstleistungen/dfnroaming/ • EDUROAM bietet eine einfache Möglichkeit für deren Mitglieder, die Netzwerkzugänge anderer Institutionen zu nutzen • Ziel ist der einfache Zugang für Gäste zum Internet, ohne Nutzung lokaler „Gast“-Accounts (Tagungen etc.) • Primär werden verschlüsselte WiFi Verbindungen als Zugangswege in den Instituten für Gäste bereit gestellt • Voraussetzung hierfür ist die Teilnahme am EDUROAM Verbund (in Deutschland  DFN) • Zugangsberechtigt sind alle Angehörige der teilnehmenden Forschungseinrichtungen (auch Studierende)

3. EDUROAM: Verbreitung (weltweit)

4. EDUROAM: Verbreitung (Europa) In Europa: Stand 2010/09

5. EDUROAM: Verbreitung (Deutschland) • Göttingen: • MPI f. Biophys. Chemie • MPI f. Exp. Medizin • Universität Göttingen • GWDG • Summe deutscher Institutionen: 201 • Derzeit sind nur 4 MPIs integriert: • Max Planck Institut für Informatik • Max Planck Institut für Softwaresysteme • (Standord Saarbrücken) • Max Planck Institut für Softwaresysteme • (Standort Kaiserslautern) • Max-Planck-Campus Golm

6. EDUROAM: Die Technik • Ein RADIUS-Server Verbund garantiert die Authentifizierung der Benutzer in deren Heimatinstitution • Jede teilnehmende Institution betreibt einen RADIUS Server zur Authentifizierung seiner Benutzer, welcher im DFN Radius- Verbund integriert sein muss • Lokale Benutzerdatenbank: Meist „steckt“ hinter dem RADIUS Server eine lokale Benutzerdatenbank (LDAP, AD, NIS, Datenbank etc.) • Die lokale WiFi Infrastruktur muss WPA (besser WPA2) beherrschen • Identifikation (Routing) durch Angabe des realm im Username: (user@mpibpc.mpg.de)

7. 4 EDUROAM: Wege der Authentifizierung DFN RADIUS-Server 5 7 6 5 7 6 4 3 Internet Universität Göttingen TU Berlin 2 GWDGRADIUS-Server TU Berlin RADIUS-Server Der RADIUS-Server der Heimatinstitution prüft die Gültigkeit des Benutzernamens/Passwortes und schickt das Ergebnis (richtig oder falsch) an den zentralen DFN RADIUS-Server zurück. Accesspoint Accesspoint 1 SSID: eduroam SSID: eduroam 2 3 1 Der DFN-RADIUS-Server schickt das Ergebnis in seiner Funktion als Proxy an den RADIUS-Server der anfragenden Institution weiter. Der Benutzer gibt seinen Benutzernamen sowie sein Passwort ein: user@tu-berlin.de. Benutzername und Passwort werden vom Accesspoint (über einen WLAN-Controller) zum lokalen RADIUS-Server der GWDG geschickt. Der lokale RADIUS-Server der GWDG erkennt aufgrund des eingegebenen realms (@tu-berlin.de) des Benutzernamens, dass es sich um einen ortsfremden Benutzer handelt und schickt die Anfrage an den zentralen RADIUS-Server des DFN weiter. Der DFN-RADIUS-Server hat eine Tabelle aller am eduroam teilnehmenden Einrichtungen in Deutschland und verweist aufgrund des realms (@tu-berlin.de) im konkreten Fall an den RADIUS-Server der Heimatinstitution des Benutzers (TU Berlin). Waren das eingegebene Passwort und der Benutzername korrekt, wird vom WLAN-Controller über den Accesspoint der Zugang für den ortsfremden Benutzer freigeschaltet und der Benutzer kann über eine verschlüsselte WLAN-Verbindung das Internet nutzen. Der lokale GWDG-RADIUS-Server schickt das Ergebnis der Überprüfung an den WLAN-Controller im GoeMobile weiter. Benutzer: user@uni-goettingen.de Benutzer: user@uni-goettingen.de Benutzer: user@uni-goettingen.de Benutzer: user@uni-goettingen.de Benutzer: user@tu-berlin.de

8. EDUROAM: Wege der Authentifizierung 4 5 6 7 Der Benutzer gibt seinen Benutzernamen sowie sein Passwort ein: user@tu-berlin.de. Benutzername und Passwort werden vom Accesspoint (über einen WLAN-Controller) zum lokalen RADIUS-Server der GWDG geschickt. Der lokale RADIUS-Server der GWDG erkennt aufgrund des eingegebenen realms (@tu-berlin.de) des Benutzernamens, dass es sich um einen ortsfremden Benutzer handelt und schickt die Anfrage an den zentralen RADIUS-Server des DFN weiter. Der DFN-RADIUS-Server hat eine Tabelle aller am eduroam teilnehmenden Einrichtungen in Deutschland und verweist aufgrund des realms (@tu-berlin.de) im konkreten Fall an den RADIUS-Server der Heimatinstitution des Benutzers (TU Berlin). Der RADIUS-Server der Heimatinstitution prüft die Gültigkeit des Benutzernamens/Passwortes und schickt das Ergebnis (richtig oder falsch) an den zentralen DFN RADIUS-Server zurück. Der DFN-RADIUS-Server schickt das Ergebnis in seiner Funktion als Proxy an den RADIUS-Server der anfragenden Institution weiter. Der lokale GWDG-RADIUS-Server schickt das Ergebnis der Überprüfung an den WLAN-Controller im GoeMobile weiter. Waren das eingegebene Passwort und der Benutzername korrekt, wird vom WLAN-Controller über den Accesspoint der Zugang für den ortsfremden Benutzer freigeschaltet und der Benutzer kann über eine verschlüsselte WLAN-Verbindung das Internet nutzen. 1 2 3

9. EDUROAM: Anbindung diverser Authentifizierungsquellen Stand: 6/2010,GWDG, Andreas Ißleiber Fremde Einrichtung außerhalb von Göttingen RADIUS-Server (Fremde Einrichtung) GWDG, Universität Göttingen Windows Active Directory realm: gwdg.de Windows Active Directory realm: uni-goettingen.de Windows Active Directory realm: stud.uni-goettingen.de 1 RADIUS-ServerDFN GWDG-RADIUS-Server radius1-edu.gwdg.de 2 Benutzergruppen: user@gwdg.de user@uni-goettingen.deuser@stud.uni-goettingen.de user@mpibpc.mpg.de user@em.mpg.de 3 1 Windows Active Directory realm: mbpc.mpg.de 2 Internet 4 3 4 Windows Active Directory realm: em.mpg.de 5 1* 5 GWDG-RADIUS-Server radius2-edu.gwdg.de 2* 3* LDAP realms: gwdg.de uni-goettingen.de LDAP realm: stud.uni-goettingen.de *: bei Passwortverschlüsselung „crypt“ oder „plaintext“

10. EDUROAM: Gäste im eigenen Netz Internet UnverschlüsselteVerbindungins Internet Authentifizierung GWDGeduroamRADIUS-Server (z.B. freeradius) GoeMobileWLAN-Controller GÖNET Accesspoint verschlüsselte Verbindung über Funk Sicherheitstyp: WPA2-Enterprise Verschlüsselung: AES o.TKIP SSID: eduroam mit WPA o. WPA2 Verschlüsselung Authentifizierung in 2 Phasen: 1.) Äußere Identität (anonymous@gwdg.de) 2.) Innere Identität (username) EAP-Client (T)TLS, PEAP, … Lokaler Benutzer: user@uni-goettingen.de oder Benutzer einer fremden Einrichtung am Bsp.: user@rwth-aachen.de

11. EDUROAM: Clients • Zusätzliche Software: SecureW2 (EAP Client) • Besser: Im OS integrierte EAP-Clients • - Windows XP,Vista,7,2008 (auch 64Bit) - LINUX (diverse) - Apple OS (Snow Leopard) • Smartphones: - Apple iPhone/pod/pad - Windows mobile (PDA) • - Palm - Android OS • Hilfe zur Clientinstallation  http://www.gwdg.de/index.php?id=2195

12. EDUROAM: Aufbau bei der GWDG, Details • FreeRadius Server (redundant) in VMWARE virtualisiert • Monitoring mit CACTI (externer Zugang auch für MPIs) • Anbindung an weitere Authentifizierungsdatenbanken (LDAP und AD: abhängig v.d. Passwortverschlüsselung) • MySQL Datenbank für Logging und Statistiken

13. EDUROAM: Anbindung der MPIs Diverse Varianten: 1.) Eigeninitiative im Institut: - Autonomer Aufbau eines eigenen RADIUS Server- Anbindung an Userdatabase- Anbindung zum DFN 2.) Anbindung am RADIUS Server der GWDG: - kein zus. Aufwand im Institut- Nutzung der redundanten Infrastruktur der GWDG - keine Einarbeitung in die teilweise recht komplexe Thematik - Anbindung an DFN Verbund bereits erfolgt - gültige Server-Zertifikate - Monitoring 3.) Virtualisierter (eigener) RADIUS Server bei der GWDG: - Nutzung eines RADIUS Server Templates bzgl. EDUROAM - vollständige, eigene Kontrolle des Systems

14. EDUROAM: Nutzung der Dienste über die GWDG RADIUS-ServerDFN GWDG Max-Planck-Institut für xxx GWDG-RADIUS-Server radius1-edu.gwdg.de Accesspoint: SSID: eduroam mit EAP und WPA(2) • Instituts User Datenbank • LDAP(s) • Active Directory • NIS • Datenbank Internet Realm: user@xxx.mpg..de GWDG-RADIUS-Server radius2-edu.gwdg.de ggf. WLAN Controller Kommunikation verschlüsselt LDAPs SSL/SSH VPN

15. EDUROAM: Nutzung der Dienste über die GWDG Was wird auf Seiten des MPI benötigt: • WLAN-Struktur mit WPA(2) • Möglichkeit zur Aussendung mehrerer SSIDs • Angabe eines Authentifizierungsserver pro SSID (RADIUS) • Benutzerdatenbank: LDAP, AD, NIS • Mut • Vorteil: Möglichkeit, ggf. das FunkLAN umgebender Institutionen zu nutzen (Universitäten)

16. EDUROAM: Nutzerstatistiken in Göttingen Anonymisierte Logins fremder Nutzer(in) in Göttingen (letzten 6 Wochen) unibe.ch uni-bielefeld.de uni-due.de uni-duisburg-essen.de uni-giessen.de uni-goettingen.de uni-hamburg.de uni-hannover.de uni-hildesheim.de uni-leipzig.de unimaas.nl uni-mainz.de uni-muenster.de uni-osnabrueck.de uni-paderborn.de uni-siegen.de uni-tuebingen.de univie.ac.at uni-wuerzburg.de upol.cz utwente.nl uva.nl win.tu-berlin.de wu.ac.at wu-wien.ac.at zedat.fu-berlin.de amu.edu.pl anu.edu.au charite.de cms.hu-berlin.de desy.de fh-friedberg.de fh-kiel.de fu-berlin.de gwdg.de gwdg.de141.22.59.41 gwdg.de141.23.34.111 hawk-hhg.de hro.nl hs-wismar.de hva.nl ijs.si kclad.ds.kcl.ac.uk kent.ac.uk kit.edu leidenuniv.nl lmu.de maths.qmul.ac.uk mytum.de ox.ac.uk ruhr-uni-bochum.de rwth-aachen.de soas.ac.uk soton.ac.uk st.amu.edu.pl st-andrews.ac.uk student.fe.uc.pt student.fh-kiel.de student.kit.edu student.rug.nl students.uni-marburg.de stud.uni-goettingen.de stud.uni-stuttgart.de sussex.ac.uk swansea.ac.uk tu-berlin.de tu-bs.de tu-chemnitz.de tu-darmstadt.de tudelft.nl tu-dortmund.de tu-dresden.de tu-ilmenau.de tum.de ua.es ua.pt u-bordeaux2.fr unet.univie.ac.at

17. EDUROAM: Nutzerstatistiken in Göttingen Jahr Woche Summe: Göttinger Benutzer in Fremdeinrichtungen Summe: Gäste in Göttingen aus Fremdeinrichtungen Göttinger Benutzer in Fremdeinrichtungen Göttinger Benutzer lokal (Wochen) Gäste in Göttingen aus Fremdeinrichtungen Summe: Göttinger Benutzer/in Lokal im Eduroam

18. ? Vielen Dank! S C S I O C S Y T E M S S C I S C O Y S T E M S … Fragen CISCO S YSTEMS LOWER UPPER NORMAL POWER POWER und Diskussionen! Vortrag ist unter: … http://www.gwdg.de/~aisslei/… zu finden