SK | EN

Základné informácie

Mobilita a roaming v rámci projektu eduroam sú založené na tom, že prístupové informácie (meno a heslo alebo certifikát) od uživateľa sú cez autentizačnú a autorizačnú infraštruktúru (AAI) postupne predané organizácií, u ktorej má uživateľ svoj účet (tzv. domovská organizácia). Tá potom na základe informácií o uživateľovi rozhodne, či mu bude umožnený prístup do siete. Vďaka tomu je možné identifikovať každý prístup do siete, resp. identifikovať a overiť užívateľa, ktorý sa snaží pripojiť k sieti.

Siete začlenené do projektu eduroam sú najčastejšie realizované ako bezdrôtové siete (WiFi) podľa štandardu 802.11b (11Mbit/s), 802.11g (54Mbit/s) alebo 802.11n (300Mbit/s). Pre overeníe uživateľov sa používa niekoľko mechanizmov. Z hľadiska bezpečnosti a komfortu je preferovaná autentizácia podľa štandardu 802.1x (tzv. network login). Ako doplnok sa niekedy využívajú ďaľšie metódy, napr. tzv. web-based autentizácia, popr. pripojenie do VPN. V súčastnej dobe sa v rámci projektu eduroam využívá takmer výhradne autentizácia podľa 802.1x s WPA2/AES.

V bezdrátových sieťach (WiFi) v rámci projektu eduroam sa používa štandardizovaný identifikátor siete (tzv. SSID) eduroam.

Aby mohol uživateľ využívať služby roamingu, musí mať zriadený účet u niektorej organizácie, ktorá je pripojená k AAI.

Prístup uživateľa k Eduroamu

Na jednoduchom príklade si ukážeme, ako je jednoduché Eduroam používať k pripojeniu k WiFi sieťam podporujúcich Eduroam. Uživateľ najprv získa eduroam účet vo svojej domovskej inštitúcií. Uživateľské meno sa skladá z loginu a z tzv. realmu, ktorý identifikuje inštitúciu, napr. novak@stuba.sk. Tieto dva údaje zadá do supplicanta (program, ktorý sa stará o pripojenie k WiFi sieti) a od tejto chvíle sa uživateľ môže pripojiť do všetkých sietí podporujúcich Eduroam. WiFi sieť, ktorá podporuje Eduroam, väčšinou obsahuje vo svojom názve text "eduroam".

Čo robí Eduroam Eduroamom

Celá infraštruktúra Eduroamu je postavená na Radius serveroch a autentizačnom protokole 802.1x. Radius servery umiestnené v jednotlivých organizáciach spravujú svojích vlastných uživateľov. Žiadosť o pripojenie užívateľa z akéjkoľvek lokality pokrytej Eduroamom znamená vytvorenie bezpečného tunelu od klienta cez infraštruktúru Eduroamu až k domovskému radius serveru, ktorý prevádza autentizáciu.

Radius infraštruktúra

Radius server (Remote Authentication Dial In User Service) je určený k overovaniu identity uživateľov, ďalej prevádza autorizáciu užívateľov a accounting na základe informácíí z prístupového bodu. S radius serverom nekomunikuje priamo uživateľ, ale iba prístupové body. Radius server môže tiež fungovať ako proxy - v tom prípade neoveruje identitu uživateľov, ale iba preposiela požiadavky na iné radius servery.

Radius servery sú v Eduroame hierarchicky zoskupené. Top-level radius servery sú umiestnené v Holandsku, ďalej každý štát má vlastné národné radius servery a samozrejme ich má aj každá pripojená inštitúcia. Radius servery v cieľových organizácíach zaisťujú overenie identity vlastných uživateľov. Národné a top-level radius servery sa starajú o predávanie autentizačných požiadaviek. Pokiaľ na akýkoľvek radius server príde požiadavka o overenie identity uživateľa, je z jeho uživateského ména vyextrahovaný realm, ktorý určuje, ku ktorej inštitúcií prísluší. Pokiaľ nieje schopný požiadavku overiť tento radius server, tak je preposlaná na nadriadený radius server.

Riadenie prístupu k sieti

Možností ako riadiť prístup uživateľov do siete, bezdrôtovo alebo drôtovo, je mnoho, väčšina ale predpokladá zostavené IP spojenie alebo overovanie na základe MAC adresy. Eduroam využíva protokol 802.1x, ktorý umožňuje prístupovým prvkom (switch, prístupový bod WiFi) ríadiť prevádzku na jednotlivých portoch. Jedna sa o protokol, ktorý komunikuje na linkovej vrstve. Protokol 802.1x v spojení s protokolem EAP (Extensible Authentication Protocol) umožňuje bezpečnú výmenu dát medzi klientom a domovským radius serverom cez prístupové body alebo switche a ostatné radius servery. EAP protokol zaisťuje prenos prihlasovacích údajov až na domáci radius server, ktorý uživateľa autentizuje. O výsledku je informovaný prístupový prvok a potom uživateľa vpustí do siete alebo naopak zamietne prístup.

Dôležitou vlastnosťou EAP v spojení s radius infraštruktúrou je stanovenie bezpečného (šifrovaného) kanála medzi klientom a cieľovým radius serverom. Je preto vylúčené, aby akýkoľvek radius server alebo prístupový bod, ktorý predáva požiadavku ďalej, videl uživateľské heslo.

Samotný protokol EAP je iba obálka pre konkrétne autentizačné protokoly. V rámci Eduroamu sa najčastejšie používá protokol PEAP/MSCHAPv2 alebo TLS. Protokol PEAP vyžaduje od uživateľa zadaníe uživateľského mena a hesla, naopak TLS protokol je postavený na infraštruktúre verejných klúčov PKI, kde sa k autentizacií využívajú certifikáty.