Download
formalne aspekty eduroam n.
Skip this Video
Loading SlideShow in 5 Seconds..
Formalne aspekty eduroam PowerPoint Presentation
Download Presentation
Formalne aspekty eduroam

Formalne aspekty eduroam

148 Views Download Presentation
Download Presentation

Formalne aspekty eduroam

- - - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript

  1. Formalne aspekty eduroam Tomasz Wolniewicz UCI UMK Tomasz Wolniewicz UCI UMK

  2. Definicja eduroam • Celem eduroam jest realizacja romingu w dostępie do Internetu dla użytkowników akademickich sieci komputerowych • Dostęp do sieci opiera się o bezpieczne mechanizmy uwierzytelniania użytkowników przez ich instytucje macierzyste

  3. Struktura projektu • Podmioty współpracy • instytucja udostępniająca sieć (resource provider) • instytucja uwierzytelniająca (idenity provider) • federacja krajowa • konfederacja (umowa między federacjami krajowymi) • Składniki projektu • hierarchiczna sieć zaufania • system połączeń między serwerami podmiotów (obecnie hierarchiczny system serwerów Radius) • Dokumenty • polityka europejska • polityki krajowe • regulaminy lokalne

  4. Rozwój eduroam • Dwie grupy koordynujące rozwój • TERENA Task Force Mobility – grupa otwarta dla wszystkich • Joint Research Activity 5 – podprojekt projektu GEANT2 – projekt badawczo-rozwojowy mający jako jeden z celów przygotowanie przekształcenia pilotowego projektu eduroam w stabilną usługę • Podstawowe obszary prac • polityka europejska • udostępnianie atrybutów opisujących użytkownika • infrastruktura techniczna

  5. Zarządzanie w skali europejskiej • Konfederacja europejska będzie działać na bazie umów tworzących organizację TERENA • eduroam będzie nadzorowany przez eduroam service group, w której reprezentowane będą wszystkie sieci krajowe biorące udział w projekcie • Zarządzanie eduroam będzie realizowane przez eduroam operational team

  6. Założenia polityki europejskiej - zarządzanie

  7. Założenia polityki europejskiej - bezpieczeństwo eduroam wspiera wyłącznie takie metody uwierzytelniania, które gwarantują, że krytyczne dane (na przykład hasło użytkownika) są transportowane bezpiecznym tunelem bezpośrednio między urządzeniem użytkownika końcowego a serwerem jego instytucji macierzystej

  8. Założenia polityki europejskiej - umowy • W roli krajowej instytucji koordynującej występuje instytucja odpowiedzialna za krajową sieć akademicką • Krajowe instytucje koordynujące podpisują formalne umowy z instytucjami włączającymi się do eduroam • Treść umów wynika z krajowej polityki eduroam oraz europejskiej polityki eduroam

  9. Polska polityka eduroam • Polityka powinna być dopracowana przez polska grupę roboczą eduroam • Polityka powinna bazować na wytycznych załączonych do polityki europejskiej • Instytucją koordynującą powinien być operator sieci PIONIER – PCSS • Obsługę operacyjną, techniczny nadzór nad projektem, reprezentację w międzynarodowych zespołach eduroam realizować będzie UCI UMK

  10. Założenia polityki krajowej- Instytucja udostępniająca sieć • Obowiązki • nieodpłatne udostępnianie sieci • wsparcie dla własnych użytkowników • współpraca z koordynatorem krajowym • utrzymanie strony WWW z informacjami • utrzymywanie logów dokonywanych połączeń • Prawa • dostęp do wsparcia w przypadkach nadużyć • dostęp do wsparcia ze strony krajowej instytucji koordynującej

  11. Założenia polityki krajowej- Instytucja uwierzytelniająca • Obowiązki • utrzymywanie serwera uwierzytelniającego • uwierzytelnianie użytkowników • wsparcie dla uwierzytelnianych użytkowników • współpraca z koordynatorem krajowym w sprawach nadużyć • utrzymywanie logów operacji uwierzytelniania • Prawa • dostęp do wsparcia ze strony krajowej instytucji koordynującej

  12. Założenia polityki krajowej- Aspekty techniczne (1) • Instytucja udostępniająca sieć jako minimum MUSI udostępniać łączność bezprzewodową w standardzie 802.11b • Instytucja udostępniająca sieć MUSI implementować SSID eduroam • SSID eduroam POWINNO być rozgłaszane • Instytucja udostępniająca sieć MUSI implementować standard indywidualnego, dynamicznego klucza WEP lub WPA/TKIP, to drugie rozwiązanie jest preferowane, • Instytucja udostępniająca sieć MOŻE implementować inne systemy uwierzytelnionego dostępu do sieci (np.gniazda Ethernet)

  13. Założenia polityki krajowej- Aspekty techniczne (2) • Instytucja udostępniająca sieć MUSI jako minimum gwarantować dostęp do podstawowych portów usług sieciowych (w tym do IPSec VPN) • Rekomenduje się, aby na potrzeby dostępu gościnnego nie stosować NAT • Instytucja udostępniająca sieć MUSI logować wszystkie zlecenia dotyczące uwierzytelniania i rozliczania oraz transakcje DHCP dotyczące dostępów eduroam • Instytucja uwierzytelniająca MUSI logować wszystkie zlecenia uwierzytelniania • Wszystkie logi muszą być synchronizowane z wiarygodnym źródłem czasu

  14. Rekomendacje dla polskich uczestników eduroam • Nowe instalacje powinny być budowane w oparciu o WPA/TKIP • Instalacja metod uwierzytelniania musi zapewniać weryfikację macierzystego serwera Radius • Użytkownicy powinni być świadomi, aby nigdy nie wprowadzać danych uwierzytelniających do portalu dostępowego • Niezbędne jest filtrowanie atrybutów ustawiających VLAN zarówno na wejściu jak i na wyjściu • w przygotowaniu poprawki oprogramowania i instrukcje