Hlavní navigace

EduRoam: možnost roamingu v akademických počítačových sítích

Pavel Satrapa 18. 11. 2004

Už vás někdy napadlo, že by mohl fungovat roaming mezi počítačovými sítěmi? Když přijdete do práce, připojíte se do sítě, a ta vás pustí ke svým zdrojům. Toto by ale mohlo fungovat i v jiné instituci, a to i na mezinárodní úrovni. Na základě autentizace si ověří vaše údaje a rozhodne, zda vás do sítě pustit, či ne. K tomu právě směřuje projekt EduRoam.

Roaming mobilních telefonů dnes považujeme za naprostou samozřejmost. Vyrazíte-li do ciziny, váš mobil se bez nejmenších problémů zahnízdí v tamní síti a vše funguje, jak jste zvyklí (až na výši poplatků). Projekt EduRoam směřuje k dosažení podobného stavu pro mobilní uživatele počítačových sítí, prozatím alespoň těch akademických.

Jeho cílem je, aby se uživatelé mohli přesouvat mezi sítěmi zapojených institucí a připojovali se k nim stejně snadno, jako ke své síti domácí. Pokud možno aby nepoznali žádný rozdíl. Nejvýznamnější komplikaci pochopitelně představuje různorodost techniky, a to jak na straně uživatelů, tak na straně zúčastněných sítí. EduRoam je vyvíjen zejména s ohledem na bezdrátové sítě, ale jeho prostředky by měly fungovat i v sítích drátěných.

Základem celého řešení je autentizace. Do bezdrátové sítě se může připojit kdokoli, kdo jde zrovna s notebookem kolem. Je třeba rozlišit oprávněné uživatele od ostatních, ty první do sítě vpustit, zatímco ty druhé nikoli. To vše má na starosti autentizační a autorizační infrastruktura (A­AI).

Její páteří je hierarchie serverů komunikujících protokolem RADIUS. Ke zvýšení bezpečnosti je jejich vzájemná komunikace šifrována prostřednictvím IPsec. Hierarchie má tři úrovně: lokální (servery připojených institucí), národní (centrální server pro naši republiku) a kořenový (pro celou Evropu).

Základní koncepce AAI vychází z toho, že informace o každém uživateli jsou uloženy jen na jednom místě – v jeho domovské instituci. Pokud se připojí mimo ni, postará se AAI o přenos autentizačních informací mezi aktuálním místem připojení a domovským RADIUS serverem a ověří, zda uživatel má oprávnění se připojit či nikoli.

Aby se usnadnilo směrování autentizačních dotazů, mají používaná uživatelská jména tvar uživatel@realm, kde realm odpovídá doméně instituce, z níž dotyčný pochází – například pepa.vomacka@ces­net.cz. Díky tomu se ví, kterou částí hierarchie je třeba projít, a lze snadno najít zodpovědný server.

Vzhledem k různorodosti používaných technologií vypracoval EduRoam pro své potřeby tři alternativní autentizační mechanismy:

802.1×

Když se klient připojí do hostitelské sítě, najde porty přístupového zařízení uzavřené, propouštějí jen autentizační protokol EAP. Na klientském počítači musí běžet program (tzv. supplicant), jenž prostřednictvím EAP požádá o autentizaci. Přístupové zařízení se obrátí na lokální RADIUS server, jenž pro lokální uživatele odpoví ze svých zdrojů, pro externí zprostředkuje styk s domácím serverem uživatele. Pokud vše dobře dopadne, přístupový port se otevře a uživatelskému stroji bude umožněna komunikace (případně jej lze zařadit i do určité virtuální sítě, což ovlivní jeho možnosti).

Použití 802.1× je nejlepší variantou. Je bezpečné, efektivní a dává největší možnosti. Vyžaduje ale podporu na straně klientského počítače. Pokud je nelze z nějakého důvodu použít, nabízejí se dvě další varianty.

VPN tunely

Při nasazení VPN tunelů se předpokládá, že každá ze zúčastněných sítí bude mít svůj VPN koncentrátor. K němu se mohou připojovat uživatelé odkudkoli z Internetu a prokáží-li totožnost, bude jejich provoz procházet přes koncentrátor a bude s nimi zacházeno jako s plnoprávnými uživateli dotyčné sítě. Hostitelské sítě podle této varianty budou blokovány firewally, jež pro nelokální uživatele povolí provoz pouze na VPN koncentrátory ostatních institucí.

Hostující počítač tedy z hostitelské sítě naváže spojení se svým domácím VPN koncentrátorem a vytvoří si tunel. Veškerá komunikace pak bude procházet tímto tunelem k VPN koncentrátoru a jeho prostřednictvím pak dále do Internetu. Tato alternativa je sice bezpečná, ale neefektivní (veškerý provoz prochází přes domácí instituci hostujícího stroje). V mezinárodním měřítku je to pak zoufale neefektivní.

WWW formulář

Nejméně bezpečná, ale naprosto univerzální metoda. I zde je hostitelská síť blokována firewallem, který neumožní nic jiného, než se spojit s vybraným WWW serverem, na němž je k dispozici autentizační formulář. Ten je obsluhován programem napojeným na AAI, a pokud uživatele ověří, odemkne mu připojení – překonfiguruje firewall tak, aby z daného stroje umožnil volnou komunikaci.

Jak už jsem nakousl výše, EduRoam je mezinárodním projektem. Spolupracují na něm sítě národního výzkumu a vzdělávání (NREN) řady evropských zemí. Jejich provozovatelé v dané zemi koordinují připojování zdejších institucí a spravují prostřední úroveň RADIUS hierarchie. Kořenový RADIUS server má na starosti pracovní skupina pro mobilitu při organizaci TERENA.

Z výše uvedeného je zřejmé, že koordinátorem pro Českou republiku je sdružení CESNET. Ostatně bylo vysokými školami a AV ČR založeno právě pro takovéto účely. V Čechách jsou nebo v nejbližší době budou do projektu zapojeny následující instituce (abecedně):

  • CESNET
  • ČVUT FEL
  • UK FAF v Hradci Králové
  • TU v Liberci
  • VŠB-TU Ostrava
  • ZČU v Plzni

Podrobnější a aktuální informace najdete na serveru www.eduroam.cz. Vedle obecných textů jsou tu k dispozici i zcela konkrétní návody pro správce sítí i uživatele – například jak konfigurovat klienty pro jednotlivé systémy a karty.

Anketa

Myslíte, že bude EduRoam užitečný?

Našli jste v článku chybu?

8. 1. 2009 12:03

Opravář (neregistrovaný)
musis zprovoznit hypervizor v linuxu na sambe pak je to OK

23. 11. 2004 3:15

Dan Lukes (neregistrovaný)
Mimoradne udalosti jsou mimoradne udalosti. Navic, jsou casove omezene ...

To kdyz se na jedne z koleji chystal prespat Phil Zimermann (PGP), tak to se mu do pokoje, ze dne na den, natahlo pripojeni 100BaseT, ackoliv samotne Koleje a Menzy tvrdi, ze do pokoju hostu si Internet nepreji.

Vyjimecne akce jsou vyjimecne akce. Navic, o tech se vi dopredu. Na takove akci par zavirovancu sneseme. J etotiz zrejme, ze se jich zahy zbavime a, da-li buh, uz o nich nikdy neuslysime.

EduRoam je ale o tom, ze…

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

DigiZone.cz: ČT láká na jarní programové tipy

ČT láká na jarní programové tipy

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Podnikatel.cz: Na 3. prosince se chystá protest proti EET

Na 3. prosince se chystá protest proti EET

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Měšec.cz: Golfové pojištění: kde si jej můžete sjednat?

Golfové pojištění: kde si jej můžete sjednat?

Vitalia.cz: Nahradí sluch, ale zvuk je zcela jiný

Nahradí sluch, ale zvuk je zcela jiný

Měšec.cz: Europlatby: někde bez poplatku, jinde i 350 Kč

Europlatby: někde bez poplatku, jinde i 350 Kč

Měšec.cz: Za palivo zaplatíte mobilem (TEST)

Za palivo zaplatíte mobilem (TEST)

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

DigiZone.cz: Digi CZ výrazně zlevnila balíček HBO

Digi CZ výrazně zlevnila balíček HBO

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Měšec.cz: Finančním poradcům hrozí vracení provizí

Finančním poradcům hrozí vracení provizí

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru