|
|
|
|
Základné informácie
Mobilita a roaming v rámci projektu eduroam sú založené na tom, že prístupové informácie (meno a heslo alebo certifikát)
od uživateľa sú cez autentizačnú a autorizačnú infraštruktúru (AAI) postupne predané organizácií, u ktorej má uživateľ
svoj účet (tzv. domovská organizácia). Tá potom na základe informácií o uživateľovi rozhodne, či mu bude umožnený prístup
do siete. Vďaka tomu je možné identifikovať každý prístup do siete, resp. identifikovať a overiť užívateľa, ktorý sa snaží
pripojiť k sieti.
Prístup uživateľa k EduroamuNa jednoduchom príklade si ukážeme, ako je jednoduché Eduroam používať k pripojeniu k WiFi sieťam podporujúcich Eduroam. Uživateľ najprv získa eduroam účet vo svojej domovskej inštitúcií. Uživateľské meno sa skladá z loginu a z tzv. realmu, ktorý identifikuje inštitúciu, napr. novak@stuba.sk. Tieto dva údaje zadá do supplicanta (program, ktorý sa stará o pripojenie k WiFi sieti) a od tejto chvíle sa uživateľ môže pripojiť do všetkých sietí podporujúcich Eduroam. WiFi sieť, ktorá podporuje Eduroam, väčšinou obsahuje vo svojom názve text "eduroam".Čo robí Eduroam EduroamomCelá infraštruktúra Eduroamu je postavená na Radius serveroch a autentizačnom protokole 802.1x. Radius servery umiestnené v jednotlivých organizáciach spravujú svojích vlastných uživateľov. Žiadosť o pripojenie užívateľa z akéjkoľvek lokality pokrytej Eduroamom znamená vytvorenie bezpečného tunelu od klienta cez infraštruktúru Eduroamu až k domovskému radius serveru, ktorý prevádza autentizáciu.Radius infraštruktúraRadius server (Remote Authentication Dial In User Service) je určený k overovaniu identity uživateľov, ďalej prevádza autorizáciu užívateľov a accounting na základe informácíí z prístupového bodu. S radius serverom nekomunikuje priamo uživateľ, ale iba prístupové body. Radius server môže tiež fungovať ako proxy - v tom prípade neoveruje identitu uživateľov, ale iba preposiela požiadavky na iné radius servery.Radius servery sú v Eduroame hierarchicky zoskupené. Top-level radius servery sú umiestnené v Holandsku, ďalej každý štát má vlastné národné radius servery a samozrejme ich má aj každá pripojená inštitúcia. Radius servery v cieľových organizácíach zaisťujú overenie identity vlastných uživateľov. Národné a top-level radius servery sa starajú o predávanie autentizačných požiadaviek. Pokiaľ na akýkoľvek radius server príde požiadavka o overenie identity uživateľa, je z jeho uživateského ména vyextrahovaný realm, ktorý určuje, ku ktorej inštitúcií prísluší. Pokiaľ nieje schopný požiadavku overiť tento radius server, tak je preposlaná na nadriadený radius server. Riadenie prístupu k sietiMožností ako riadiť prístup uživateľov do siete, bezdrôtovo alebo drôtovo, je mnoho, väčšina ale predpokladá zostavené IP spojenie alebo overovanie na základe MAC adresy. Eduroam využíva protokol 802.1x, ktorý umožňuje prístupovým prvkom (switch, prístupový bod WiFi) ríadiť prevádzku na jednotlivých portoch. Jedna sa o protokol, ktorý komunikuje na linkovej vrstve. Protokol 802.1x v spojení s protokolem EAP (Extensible Authentication Protocol) umožňuje bezpečnú výmenu dát medzi klientom a domovským radius serverom cez prístupové body alebo switche a ostatné radius servery. EAP protokol zaisťuje prenos prihlasovacích údajov až na domáci radius server, ktorý uživateľa autentizuje. O výsledku je informovaný prístupový prvok a potom uživateľa vpustí do siete alebo naopak zamietne prístup.Dôležitou vlastnosťou EAP v spojení s radius infraštruktúrou je stanovenie bezpečného (šifrovaného) kanála medzi klientom a cieľovým radius serverom. Je preto vylúčené, aby akýkoľvek radius server alebo prístupový bod, ktorý predáva požiadavku ďalej, videl uživateľské heslo. Samotný protokol EAP je iba obálka pre konkrétne autentizačné protokoly. V rámci Eduroamu sa najčastejšie používá protokol PEAP/MSCHAPv2 alebo TLS. Protokol PEAP vyžaduje od uživateľa zadaníe uživateľského mena a hesla, naopak TLS protokol je postavený na infraštruktúre verejných klúčov PKI, kde sa k autentizacií využívajú certifikáty.
|