Hlavní navigace

Vlákno názorů k článku EduRoam: možnost roamingu v akademických počítačových sítích od Yenya - Svet neni tak ruzovy jak se na prvni...

  • Článek je starý, nové názory již nelze přidávat.
  • 18. 11. 2004 11:16

    Yenya (neregistrovaný)
    Svet neni tak ruzovy jak se na prvni pohled zda. V takoveto siti je treba nejen vyresit autentizaci, ale treba taky mit nastroje pro to, aby se dali uzivatele identifikovat v pripade problemu (typicky pripojeni zavirovaneho pocitace). Ma EduRoam i nejake takoveto mechanismy? A co treba mene zavazna lec taky spatna aktivita - vytizeni site? Jak se resi aby treba v kritickych casech ta autentizace pustila uzivatele jen z nekterych realmu?

    -Yenya
  • 18. 11. 2004 16:53

    Dan Lukes (neregistrovaný)
    Obavam se, ze ja spis souhlasim s Yenyou. Technicky je vse vyreseno pomerne pekne, obavy lze mit z praxe. Jsem spravce jedne akademicke site a predbezne sondaze o zavedeni neceho takoveho se uz objevily i tady. Ja konkretne se obavam desitek verejne kolujicich autentizacnich tokenu. Obavam se zavirovanych pocitacu podnikajicich DOS utoky a pocitacu s DirectConnectem ci necim podobnym siricim "od nas" filmy a hudbu. Oboji bez vedomi jejich uzivatelu. Pocitace pracovniku akademickych instituci byvaji zhusta velmi nekvalitne spravovany - protoze si to kazdy dela sam, ac tomu vubec nerozumi a typicky neexistuje v akademicke instituci ani nejaka "firemni politika", ktera by stanovovala nejake zasady co vlastne musi pocitac pripojovany do akademicke site splnovat. Obavam se velmi neuspokojivych reakci spravcu, pod ktere pripadny problematicky uzivatel bude spadat.

    Neco se vyresit da - napriklad 802.1x je nativnejsi a technicky hezci reseni. Ale tim by "cizi" pocitac ziskal "nasi" adresu. Stiznosti pak budou smerovany nam. VPN ma vetsi overhead a neni jako reseni tak pekne - ale adresou pocitac dostane "domaci" - a tak si na nej budou stezovat "u nej doma".

    EduRoam je nadherna akademicka myslenka. A vubec nepochybuju, ze na pocatku bude bez problemu funkcni - dokud budou "cestujicimi" ti pilotni prvni uzivatele, kteri typicky byvaji technicky zdatnejsi. Obavam se nasledneho rutinniho provozu, se stovkami cestujicich laiku s mizerne nakonfigurovanymi okny spadajicimi pod spravce, ktery nema faktickou silu vymoci dodrzovani jakychkoliv pravidel a nemajiciho faktickou pravomoc jakkoli rozumne postihnout toho, kdo pravidla nerespektuje.

    Ano, vsechny tyto problemu pravidla zdanlive resi. Ja jsem ale duverne seznamem s rozdily mezi teorii a praxi, co se nejakych pravidel tyce, v akademicke sfere.

    Navzdory tomu si myslim, ze neni duvodu neco takoveho nevyzkouset. I od zkouseni nebezpecnych a/nebo slepych cest tu akademicke instituce a jejich site jsou...

  • 18. 11. 2004 22:28

    Dan Ohnesorg (neregistrovaný)
    K obcasnym excesum dojde, ale nemyslim, ze by kvuli nim byl cely system nenasaditelny. Pokud budou dostatecne tvrda pravidla typu rozdas heslo vsem kamaradum = zrusime ho a zadne nove nedostanes, budes sirit viry = ban na pul roku, nejak to fungovat bude. Z hlediska spravy to neni o nic slozitejsi a kontroverznejsi nez wifi hotspot v hotelu. Tady alespon presne vite, kdo je za dany bordel zodpovedny.

    Ostatne nevim jak je to presne v dejvicke siti, ale bude to podobne jako na MUNI, bezdratova sit je autonomnim systemem s vlastnimi firewally, bez nejake prime vazby na sit jako takovou. Ziskat pristup pres wifi neni zdaleka tak plnohodnotne pripojeni k lokalni siti jako kdyz se vrazi ethernetovy kabel do zasuvky.

    Faktickou pravomoc resit problem mate tak, ze muzete dany realm zakazat. Neni to nic moc, ale kdyz budou uzivatele druhe strany zlobit...

    A co se tyce stiznosti na provozovatele IP adresy, nakonec to muzete resit jako provozovatele ADSL. Treba GTS vlastni IP adresu bez reverzu ze ktere chodi kazdy den tak 300 viru, a jak resi stiznost - neresi ji vubec. A vsichni jsou happy.
  • 19. 11. 2004 11:04

    Yenya (neregistrovaný)
    Upresneni: Na FI MU autentizovane uzivatele uz zadny firewall neomezuje. Cili kdo se zaloguje, tak je normalne v Internetu. Na druhou stranu s propustnosti site mame problem, v nekterych lokalitach se interaktivne skoro neda pracovat.

    -Y.
  • 19. 11. 2004 12:40

    Dan Lukes (neregistrovaný)
    Ja ale nerikal, ze system je nenasaditelny - naopak, ja s jeho nasazenim souhlasim. Jen se domnivam, ze system ma nektere spatne odstranitelne vady a nakonec to skonci tak, ze zadny cestujici pracovnik si nikdy nebude jisty, kde se mu spojeni navazat podari a kde nikoliv, protoze na spouste mist bude spousta realmu zakazana proste proto, ze nekdy nekdo zpusobil nejaky problem a protistrana nezareagovala adekvatne. A ackoliv takove situace pravidla teoreticky resi a, teoreticky, by takovy nereagujici uzel mel byt vyrazen ze systemu zcela, v praxi to fungovat spise nebude a lokalni spravci hostujicich siti budou daleko pravdepodobneji sahat k lokalnim blokacim, o kterych nikdo jiny nebude vedet, nez se dohadovat s centrem, ktere, nakonec, nic neudela.

    Protoze tak to v praxi v akademickem prostredi obvykle chodi. To je vlastnost toho prostredi - a nelze dokonce ani jednoduse rict, ze to je vada, i kdyz v mnoha pripadech to pro zlost je.

    Ujistuji vas, ze vim presne o cem je rec - ja jsem spravce v akademicke siti a jsme nucen komunikovat s kolegy z jinych akademickych instituci - a to i zahranicnich. Pokud se vam nepodari dohodnout s tim, kdo je nejniz (a casto neprijde jakakoliv reakce) - kde je ale leckdy problem s tim, aby slo o cloveka dostatecne odborne na vysi, jakykoliv pokus komunikovat "vys" konci neuspechem - v typickem pripade zcela bez odpovedi. Akademicke instituce nejsou vojsko - tady si na princip subordinace prilis nehrajeme a realne pravomoci "shora dolu" jsou ve vetsine pripadu fakticky nulove.

    Nicmene, a znovu to radeji opakuji, ja si nemyslim, ze kvuli tomu by se projekt nemel rozjet. V kazdem pripade mel.

    A co se reseni stiznosti tyce - to, ze na nejake stiznosti GTS nereaguje, to je problem GTS. Ja nejsem GTS. Ja resim zasadne vsechny stiznosti, a ze jich neni uplne malo. A chci mit tu moznost i nadale, aniz by stiznosti extremne pribylo, nebo se vyrazne zhorsila realna moznost je fakticky resit - tj. chci mit i nadale dojem, ze ten, kdo porusuje pravidla bude fakticky postizen natolik citelne, aby to jiz priste neudelal. A prave to akademicke prostredi zajistit nedokaze a to je hlavni vada celeho projektu. Ale potreti a naposledy opakuji, ze to neni duvod to nezkusit (jen z praktickych duvodu preferuji VPN pred 802.1x, protoze stiznosti, ktere stejne nemohu efektivne resit, pak nepujdou me). Z technickeho hlediska je to nadherna hracka a ja uz se tesim, az si to budu moci osahat a videt jak to funguje v praxi.

  • 19. 11. 2004 12:50

    Dan Lukes (neregistrovaný)
    Pokud budou dostatecne tvrda pravidla typu rozdas heslo vsem kamaradum = zrusime ho a zadne nove nedostanes, budes sirit viry = ban na pul roku, nejak to fungovat bude.

    Ze se jeste kratce vratim k tehle vete - vidim v zarivych barvach, jak vysvetluji vazenemu panu docentovi, ze proto, ze minule, kdyz byl na navsteve tamhle, mel na pocitaci (zase) virus, tak ted si pul roku na navstevach univerzit ani neskrtne. Krome jeho naprosto nevericiho pohledu, ze neco takoveho vubec rikam, vidim, jak do pul hodiny mi nektery z prodekanu vysvetluje, ze takhle to preci delat nemuzeme - on tam preci toho vira nemel umyslne - a nemohu preci pozadovat, aby mel poctac v poradku - a vubec - ta pravidla preci nelze vykladat tak striktne ...

    A takhle to, patrne, funguje uplne vsude - a proto je mi uplne jasne, jak takova spoluprace spravce domaci site, v pripade problemu s jejich docentem v nasi siti, bude vypadat. Napise mi neco, aby me uklidnil - ale panu docentovi se to neodvazi ani rict, natoz aby mu nekam blokoval nejaky pristup.

    Musis si uvedomit, ze osloveni "kolego", kterym dopravaji zamestnanci vysokych skol svym studentum zdani, ze jde o rovny vztah, je, z vetsi miry, iluze. To, ze lze vytvorit pravidla aprosadit pravidl avuci studentum na nejake koleji neznamena, ani v nejmensim, ze stejny mechanismus lze v praxi pouzit i proti zamestnancum. V tomto ohledu rovnost ani kolegialita v praxi prilis nepanuje.

    Je videt, ze ty's nikdy zadnou akademickou sit nespravoval...

  • 19. 11. 2004 13:23

    PaJaSoft (neregistrovaný)
    Tak to je naprosto super nazor, ktery jsem rad, ze rekne verene i nekdo jiny, protoze ja jsem se v podobnem duchu jiz nekolikrat vyjadril a vzdy jsem to "schytal" (ale to nic)... - v akademicke sfere je snad vice nez v komercni zavedena hra "ja na brachu, bracha na mne" a to casto vcetne vedeckych hodnosti, stazi, penez, funkci a ja nevim ceho vseho. To, co Dane popisujete je jen spicka ledovce... - zvlastni je, ze akademicka sfera nechape tu komercni v tom, ze kdyz si managor usmysli i kraviny litaji, ale pritom to ma akademicka sfera doma v tom samem svinciku... - proste ten pravomocne mocnejsi ma vzdy pravdu a dle neho se ridi i kdyby to byla uchylarna... a pak se divme, jak je Internet zaneradeny... pry za to muze komercionalizace (a akademicka sfera byla ta, ktera jako prvni chtela ukazovat prstem), houby s voctem, je to o lidech...
  • 19. 11. 2004 18:57

    Dan Lukes (neregistrovaný)
    S tim rozdilem, ze me za toto verejne prohlaseni patrne nevyhodi, kdezto v komercni sfere bych mel patrne vazny problem se sefem, pokud bych jeste vubec byl zamestnan ...
  • 22. 11. 2004 9:27

    PaJaSoft (neregistrovaný)
    Tak v tomto se zrejme neshodneme, protoze typicky cesky sef si pod sebou drzi predevsim loajalni ovce a nikoli lidi s vlastnim nazorem a nedej boze schopnejsi nez je on sam...
  • 22. 11. 2004 11:46

    Dan Ohnesorg (neregistrovaný)
    Vsude delaji ti sami lide, rozdil je jen v tom, ze kdyz za nejaky prusvih nekoho vyrazite z akademicke sfery, tak si polepsi, kdezto v komercni pujde s platem dolu.

    No a protoze v akademicke sfere vite, ze kdyz vyrazite pana XY, tak si budou vsichni na katedre muset nejak rozdelit jeho praci, protoze jineho nenajdete, tak radsi nikoho nevyhodi. Samozrejme se nevyhazuje za takove pitomosti jako zavirovani pocitace nebo vyzrazeni tajne informace (stejne zadne neznaji), ale mnoho lidi je na vyhozeni pro faktickou neschopnost ucit a jsou tam porad.
  • 22. 11. 2004 16:14

    Dan Lukes (neregistrovaný)
    To je duvod, proc jsem v jednom z prispevku psal, ze to je spis vlastnost, nez vada systemu. Nevim, jake jsou platy profesoru u nas a netusim, na jake penize by si takovy profesor prisel, kdyby odesel delat do komercni sfery. Ja jen vim, ze spravce site, ktery by si nepral byt jmenovan, dostal, po prechodu do sfery akadenicke, plat tretinovy. Ale udelal jsem to za plenho vedomi a dusevhniho zdravi - jsem v akademicke sfere velmi spokojeny. Clovek nemuze mit vsechno. A to volnejsi prostredi k akademicke sfere patri - stejne jako ty mizerne platy. Ale obcas je nemoznost dosahnout, libovolnou silou, i byt' nejmensiho poradku, opravdu k zlosti. A ja se obavam, ze tohle EduRoam zabije, nebo alespon, vyrazne poskodi. Nicmene, nechme se prekvapit - nic me nepotesi vic, nez kdyz se ukaze, ze jsem spatny prorok ...
  • 22. 11. 2004 16:44

    Dan Ohnesorg (neregistrovaný)
    Jen tak me mane napadlo, byl jsem v Berline na devconu vyvojaru OpenOffice.org. Prostory nam poskytla Humboldtova univerzita. Tusim 300 ucastniku z celeho sveta (mozna vic).

    A nejen prostory, rekli tady je nase wifi sit, pouzivejte ji dle potreby, je otevrena, dhcp bezi. Pokud nemate notebook, mame tu inet kiosky.

    Nikdo neresil, jestli maji ucastnici zavirovany notebook, kdo vlastne jsou, jestli se nepripoji kolemjdouci bezdomovec.

    Samozrejme je to trochu mimoradna prilezitost, neni to tam kazdy den, ale taky mohli rict: "Jdete do inet kavarny", nebo poslete nam predtim MAC adresy a jmena lidi. Ale neudelali to.

  • 23. 11. 2004 3:15

    Dan Lukes (neregistrovaný)
    Mimoradne udalosti jsou mimoradne udalosti. Navic, jsou casove omezene ...

    To kdyz se na jedne z koleji chystal prespat Phil Zimermann (PGP), tak to se mu do pokoje, ze dne na den, natahlo pripojeni 100BaseT, ackoliv samotne Koleje a Menzy tvrdi, ze do pokoju hostu si Internet nepreji.

    Vyjimecne akce jsou vyjimecne akce. Navic, o tech se vi dopredu. Na takove akci par zavirovancu sneseme. J etotiz zrejme, ze se jich zahy zbavime a, da-li buh, uz o nich nikdy neuslysime.

    EduRoam je ale o tom, ze kazdy si prichazi a odchazi jak s emu zlibi a nikdo o nem nevi. To je, preci jen, neco trochu jineho.

  • 22. 11. 2004 11:40

    Dan Ohnesorg (neregistrovaný)
    Ale spravoval, jenze ne vsude je to stejne. U nas si profesori ani docenti stroje sami nespravuji, jen nekteri doktorandi. Sice se jim obcas povede si pocitac zavirovat, ale to je pomerne vyjimecne a je to prakticky okamzite zachyceno, protoze virus zacne neco delat, vetsinou se nekam ukladat a to zachyti on access scanner na serveru, ktery nejde obejit tak lehce jako ten na stanici. Kdyz sahne na smtp, zase je hned videt, ze jsme nakoupili virus z vlastni site. Posta se jim scanuje jednak pred dorucenim a druhak v imap slozkach kazdou noc. Sprava site promptne vypina patricny port na switchi at je to profesor nebo neni a taky vi, kdo je za dany pocitac odpovedny, kdyz je to treba rektor, tak tam nabehne nekdo hned, kdyz je to nekde na katedre, tak to dostane k vyreseni katederni spravce.

    Takze az dorazi profesor do cizi site se zavirovanym notebookem, tak u nas nebude mit prusvih on, ale ten kdo je za jeho notebook zodpovedny.
  • 19. 11. 2004 13:33

    PaJaSoft (neregistrovaný)
    No s tou "firemni" politikou to neni tak zle, studenti se bohuzel vzdy buzerovali dobre... (ano mluvim za Brno) - jak na kolejich, tak pristup k pracovisti s IT technikou... - vse je v radu, ktery nebohy studentik podepisuje pri vydani pristupu do vypocetniho strediska) jasne definovano... vcetne sankci az vyhazovem ze skoly. Bohuzel se to vzdy uplatnovalo skutecne pouze smerem ke studentum...
  • 18. 11. 2004 14:00

    Dan Ohnesorg (neregistrovaný)
    Brnaci zavidi ze to mame v Praze prvni ;-)

    Jsou tam takove mechanizmy. Je to popsane na tom webu. Libi se mi ta idea anonymizace po 2 mesicich, ale nijak zvlast neverim, ze ji nekdo bude delat. Ztratily se tim ostatne i takove veci jako unikatni pocet uzivatelu.

    O nejake priorite vlastnich lidi pred cizimi jsem tam nic nenasel. Fakt je, ze na WiFi to muze byt vazny problem, protoze 11M (teda vlastne ~5M) je uboha rychlost, zvlast kdyz se spojuje klient na 100M sit, kde ho nic jineho nebrzi. To skutecne staci pustit stazeni posty z imap serveru a brouzdaci se mohou jit klouzat, jejich nahodne generovane pozadavky temer neprojdou.
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).