Eduroam: deset let síťového roamingu

Je to už deset let, kdy světlo světa spatřila myšlenka infrastruktury usnadňující akademickým uživatelům přístup k Internetu na cestách. Jejím základem je federativní uspořádání, kdy zapojené instituce vzájemně respektují autentizaci svých uživatelů. Cílem je, aby uživatel nemusel nic zařizovat, prostě přijel a připojil se.

Vnitřní život autentizačních mechanismů, které požadované chování zajistí, vypadá zhruba takto: Typickou základní buňkou eduroam je WiFi síť (ale může se jednat i o síť drátěnou) s autentizací založenou na protokolu IEEE 802.1X, jejíž AP se při ověřování uživatelů obrací na místní RADIUS server. Uživatelé zadávají svá jména v podobě uživatel@domé­na, což umožňuje snadné zpracování jejich autentizačních údajů. Lokální RADIUS vyhodnotí lokální uživatele ze své databáze. Jakmile má uživatelské jméno za zavináčem jinou než místní doménu, přepošle jeho autentizační údaje národnímu RADIUS serveru.

Národní server, jehož správcem v České republice je sdružení CESNET, má situaci o něco složitější, protože musí znát servery všech domácích domén a předávat jim příslušné dotazy. Pokud uživatel nepochází z České republiky (jeho doména nekončí .cz), opakuje se podobný přístup – národní server předá autentizační údaje k vyřízení kořenovému serveru eduroam infrastruktury, který je přepošle do daného státu.

Z uživatelského pohledu je to celé velmi snadné a příjemné. Stačí mít účet ve své domácí instituci, aby se člověk mohl připojit v libovolné síti zapojené do eduroam. Takže když jsem minulý týden v rámci konference IPv6 Day v Národní technické knihovně dostal lísteček s heslem do WiFi, mohl jsem jej klidně vyhodit. Stačilo mi otevřít notebook a připojit se svým heslem z TU v Liberci do sítě eduroam.

Pro užitečnost podobné infrastruktury je samozřejmě klíčové pokrytí. O eduroam jsme poprvé informovali v roce 2004, když infrastruktura dorazila do České republiky. Tehdy bylo u nás zapojeno šest organizací. V současné době jich je 38. Tenhle seznam má ovšem omezenou vypovídací schopnost, protože střední škola v něm má stejnou váhu jako Univerzita Karlova nebo Akademie věd ČR s fakultami či ústavy v řadě měst. Zajímavější jsou lokality, kde všude se dá připojit. Na stránce eduroam.cz je najdete v podobě přehledné mapky i XML souboru. V něm jsou obsaženy údaje o 477 lokalitách, což je velmi pěkné číslo.

eduroam není český vynález. Má kořeny v Nizozemsku (viz podrobnější informace o historii) a postupně se rozšířil do více než padesáti zemí na pěti kontinentech. Jestliže v Evropě nabízí více než 5000 lokalit, představuje našich 477 bezmála deset procent. V této oblasti se rozhodně máme čím pochlubit, tuzemská infrastruktura patří mezi nejhustší na světě.

A jaké je využití? V současné době dosahuje v České republice 6000 uživatelů denně a svižně roste, jak dokládá vývoj za posledních 5 let na přiloženém grafu. Jeho vývoj probíhá v zajímavých skocích – během akademického roku je viditelný pozvolný růst, v době prázdnin nastane vždy přirozený útlum a se začátkem nového semestru se objeví dvojnásobek uživatelů proti předchozímu roku. Z celkového počtu je 200–250 cizinců, největší zastoupení ale mají města s více univerzitami (zejména Praha a Brno), kde jsou návštěvy studentů a zaměstnanců mimo domovskou organizaci nejběžnější.

Přestože valná většina uživatelů pochází z akademického prostředí, není eduroam omezen jen na ně. O Národní technické knihovně jsme se již zmiňoval, zajímavým účastníkem je rozhodně Kraj Vysočina, díky jehož zapojení je eduroam dosažitelný v řadě měst dané oblasti. Za zmínku stojí i sdružení JM-Net, díky němuž má eduroam solidní pokrytí na jihovýchodě Prahy.

UX16

Systémy mají obecnou tendenci stávat se složitějšími a složitějšími. V případě eduroam je tendence spíše opačná. Rozrůstá se kvantitativně, ale technické řešení se spíše zjednodušuje. V počátcích umožňoval tři různé typy autentizace: 802.1X, webový autentizační formulář a VPN. Druhá a třetí varianta z něj byly postupem času odstraněny. Ověření prostřednictvím VPN se nikdy příliš nerozšířilo a webová autentizace byla vymýcena pro nedostatečnou bezpečnost. Většina připojených sítí ji sice zachovala, ovšem jen pro své vlastní uživatele. V eduroam nadále zůstává jen autentizace 802.1X ve spojení se šifrováním bezdrátových přenosů. Díky pokroku ve schopnostech nasazených zařízení a programů se postupně stírají rozdíly v používaných protokolech a celé prostředí se stává uživatelsky jednodušším a transparentnějším. Jestliže před pár lety nebyla žádnou vzácností nutnost upravovat nastavení podle navštívené sítě, dnes až na výjimky spustíte stroj a můžete komunikovat.

Bezdrátové sítě během posledních deseti let prodělaly obrovský rozmach a eduroam nepochybně představuje jednu z výkladních skříní tohoto vývoje.

21 názorů Vstoupit do diskuse
poslední názor přidán 26. 11. 2012 11:14
Zasílat nově přidané názory e-mailem

Školení: Právo pro e-shopy

  •  
    Jak provozovat e-shop v souladu se zákonem.
  • Jak přistupovat k vrácení zboží a spory se spotřebiteli.
  • Jak v souladu s právem marketovat e-shop.

Detailní informace o školení Právo pro e-shopy »