EduRoam: možnost roamingu v akademických počítačových sítích

Roaming mobilních telefonů dnes považujeme za naprostou samozřejmost. Vyrazíte-li do ciziny, váš mobil se bez nejmenších problémů zahnízdí v tamní síti a vše funguje, jak jste zvyklí (až na výši poplatků). Projekt EduRoam směřuje k dosažení podobného stavu pro mobilní uživatele počítačových sítí, prozatím alespoň těch akademických.

Jeho cílem je, aby se uživatelé mohli přesouvat mezi sítěmi zapojených institucí a připojovali se k nim stejně snadno, jako ke své síti domácí. Pokud možno aby nepoznali žádný rozdíl. Nejvýznamnější komplikaci pochopitelně představuje různorodost techniky, a to jak na straně uživatelů, tak na straně zúčastněných sítí. EduRoam je vyvíjen zejména s ohledem na bezdrátové sítě, ale jeho prostředky by měly fungovat i v sítích drátěných.

Základem celého řešení je autentizace. Do bezdrátové sítě se může připojit kdokoli, kdo jde zrovna s notebookem kolem. Je třeba rozlišit oprávněné uživatele od ostatních, ty první do sítě vpustit, zatímco ty druhé nikoli. To vše má na starosti autentizační a autorizační infrastruktura (A­AI).

Její páteří je hierarchie serverů komunikujících protokolem RADIUS. Ke zvýšení bezpečnosti je jejich vzájemná komunikace šifrována prostřednictvím IPsec. Hierarchie má tři úrovně: lokální (servery připojených institucí), národní (centrální server pro naši republiku) a kořenový (pro celou Evropu).

Základní koncepce AAI vychází z toho, že informace o každém uživateli jsou uloženy jen na jednom místě – v jeho domovské instituci. Pokud se připojí mimo ni, postará se AAI o přenos autentizačních informací mezi aktuálním místem připojení a domovským RADIUS serverem a ověří, zda uživatel má oprávnění se připojit či nikoli.

Aby se usnadnilo směrování autentizačních dotazů, mají používaná uživatelská jména tvar uživatel@realm, kde realm odpovídá doméně instituce, z níž dotyčný pochází – například pepa.vomacka@ces­net.cz. Díky tomu se ví, kterou částí hierarchie je třeba projít, a lze snadno najít zodpovědný server.

Vzhledem k různorodosti používaných technologií vypracoval EduRoam pro své potřeby tři alternativní autentizační mechanismy:

802.1×

Když se klient připojí do hostitelské sítě, najde porty přístupového zařízení uzavřené, propouštějí jen autentizační protokol EAP. Na klientském počítači musí běžet program (tzv. supplicant), jenž prostřednictvím EAP požádá o autentizaci. Přístupové zařízení se obrátí na lokální RADIUS server, jenž pro lokální uživatele odpoví ze svých zdrojů, pro externí zprostředkuje styk s domácím serverem uživatele. Pokud vše dobře dopadne, přístupový port se otevře a uživatelskému stroji bude umožněna komunikace (případně jej lze zařadit i do určité virtuální sítě, což ovlivní jeho možnosti).

Použití 802.1× je nejlepší variantou. Je bezpečné, efektivní a dává největší možnosti. Vyžaduje ale podporu na straně klientského počítače. Pokud je nelze z nějakého důvodu použít, nabízejí se dvě další varianty.

VPN tunely

Při nasazení VPN tunelů se předpokládá, že každá ze zúčastněných sítí bude mít svůj VPN koncentrátor. K němu se mohou připojovat uživatelé odkudkoli z Internetu a prokáží-li totožnost, bude jejich provoz procházet přes koncentrátor a bude s nimi zacházeno jako s plnoprávnými uživateli dotyčné sítě. Hostitelské sítě podle této varianty budou blokovány firewally, jež pro nelokální uživatele povolí provoz pouze na VPN koncentrátory ostatních institucí.

Hostující počítač tedy z hostitelské sítě naváže spojení se svým domácím VPN koncentrátorem a vytvoří si tunel. Veškerá komunikace pak bude procházet tímto tunelem k VPN koncentrátoru a jeho prostřednictvím pak dále do Internetu. Tato alternativa je sice bezpečná, ale neefektivní (veškerý provoz prochází přes domácí instituci hostujícího stroje). V mezinárodním měřítku je to pak zoufale neefektivní.

WWW formulář

Nejméně bezpečná, ale naprosto univerzální metoda. I zde je hostitelská síť blokována firewallem, který neumožní nic jiného, než se spojit s vybraným WWW serverem, na němž je k dispozici autentizační formulář. Ten je obsluhován programem napojeným na AAI, a pokud uživatele ověří, odemkne mu připojení – překonfiguruje firewall tak, aby z daného stroje umožnil volnou komunikaci.

Jak už jsem nakousl výše, EduRoam je mezinárodním projektem. Spolupracují na něm sítě národního výzkumu a vzdělávání (NREN) řady evropských zemí. Jejich provozovatelé v dané zemi koordinují připojování zdejších institucí a spravují prostřední úroveň RADIUS hierarchie. Kořenový RADIUS server má na starosti pracovní skupina pro mobilitu při organizaci TERENA.

Z výše uvedeného je zřejmé, že koordinátorem pro Českou republiku je sdružení CESNET. Ostatně bylo vysokými školami a AV ČR založeno právě pro takovéto účely. V Čechách jsou nebo v nejbližší době budou do projektu zapojeny následující instituce (abecedně):

• CESNET
• ČVUT FEL
• UK FAF v Hradci Králové
• TU v Liberci
• VŠB-TU Ostrava
• ZČU v Plzni

Podrobnější a aktuální informace najdete na serveru www.eduroam.cz. Vedle obecných textů jsou tu k dispozici i zcela konkrétní návody pro správce sítí i uživatele – například jak konfigurovat klienty pro jednotlivé systémy a karty.