Všeobecné informácie o Eduroam

Základné informácie o sieti eduroam

  • Čo je Eduroam?

Eduroam je medzinárodný projekt zaoberajúci sa podporou mobility a roamingu v sieťach národného výskumu a vzdelávania (NREN - National Research and Education Network). Základná myšlienka eduroamu je umožniť študentom a akademickým pracovníkom pripojiť sa do počítačovej siete v inej akademickej inštitúcii, bez toho aby sa museli niekde registrovať alebo získavať prístupové údaje. Pripojenie k sieti vyžaduje od používateľa iba používateľské meno a heslo, ktoré používa vo svojej domovskej inštitúcií.

  • Infraštruktúra eduroamu

Eduroam v sebe integruje autentizačnú a autorizačnú infraštruktúru AAI (Authentication and Authorization Infrastructure) a bezpečnosť dát. Celá infraštruktúra Eduroamu je postavená na Radius serveroch a autentizačnom protokole 802.1x. Radius servery umiestnené v jednotlivých organizáciách spravujú svojich vlastných používateľov. Žiadosť o pripojenie užívateľa z akejkoľvek lokality pokrytej eduroamom znamená vytvorenie bezpečného tunelu od klienta cez infraštruktúru Eduroamu až k domovskému radius serveru, ktorý prevádza autentizáciu. Radius servery sú v eduroame hierarchicky zoskupené. Top-level radius servery (Obr. 1) sú umiestnené v Holandsku, ďalej každý štát má vlastné národné radius servery a samozrejme ich má aj každá pripojená inštitúcia. Radius servery v cieľových organizáciách zaisťujú overenie identity vlastných používateľov. Národné a top-level radius servery sa starajú o predávanie autentizačných požiadaviek.

Obr.1

Pokiaľ na akýkoľvek radius server príde požiadavka o overenie identity užívateľa, je z jeho používateľského mena vyčlenený realm, ktorý určuje, do ktorej inštitúcie patrí. Pokiaľ nie je schopný požiadavku overiť tento radius server, tak je preposlaná na nadriadený radius server.

  • Národný koordinátor

Koordináciou roamingu v rámci slovenskej siete je spoločnosť SANET, ktorá je súčasne prevádzkovateľom tejto siete ( http://www.sanet.sk/eduroam/eduroam.shtm ). Pre označenie roamingového systému bol zvolený termín eduroam, ktorým by mali byť v budúcnosti označené všetky spolupracujúce organizácie. Je to tiež vhodné znak pre používateľov, ktorý keď uvidia na webových stránkach nejakej organizácie, či stene počítačovej učebne logo eduroam (obr. 2), je mu hneď jasné, že sa môže pripojiť v rámci roamingu. Rovnako pre SSID (identifikátor rádiovej siete) sa počíta s použitím termínu eduroam.

Obr.2

Bezdrôtová Wifi sieť eduroam je zriadená za účelom poskytnutia prístupu do dátovej siete TUZVO, do akademickej siete SANET a prostredníctvom tejto siete do celého Internetu pre autorizovaných používateľov. Dátová sieť TUZVO, rovnako ako akademická sieť SANET, je vybudovaná a prevádzkovaná predovšetkým pre podporu vzdelávania, vedy a výskumu na akademickej pôde a na podporu ostatných aktivít súvisiacich s poslaním vysokých škôl (komunikácia prostredníctvom elektronickej pošty, získavanie informácií z webu, poskytovanie informácií o štúdiu a pod.).

  • Riadenie prístupu k sieti eduroam

Možností ako riadiť prístup používateľov do siete, bezdrôtovo alebo drôtovo, je mnoho, väčšina ale predpokladá zostavené IP spojenie alebo overovanie na základe MAC adresy. Eduroam využíva protokol 802.1x, ktorý umožňuje prístupovým prvkom (switch, prístupový bod WiFi) riadiť prevádzku na jednotlivých portoch. Jedna sa o protokol, ktorý komunikuje na linkovej vrstve. Protokol 802.1x v spojení s protokolom EAP (Extensible Authentication Protocol) umožňuje bezpečnú výmenu dát medzi klientom a domovským radius serverom cez prístupové body alebo switche a ostatné radius servery ( Obr. 3). EAP protokol zaisťuje prenos prihlasovacích údajov až na domáci radius server, ktorý používateľa autentizuje. O výsledku je informovaný prístupový prvok a potom užívateľa vpustí do siete alebo naopak zamietne prístup. Dôležitou vlastnosťou EAP v spojení s radius infraštruktúrou je stanovenie bezpečného (šifrovaného) kanála medzi klientom a cieľovým radius serverom. Je preto vylúčené, aby akýkoľvek radius server alebo prístupový bod, ktorý predáva požiadavku ďalej, videl používateľské heslo. Samotný protokol EAP je iba obálka pre konkrétne autentizačné protokoly. V rámci Eduroamu sa najčastejšie používa protokol PEAP/MSCHAPv2 alebo TLS. Protokol PEAP vyžaduje od používateľa zadanie používateľského mena a hesla, naopak TLS protokol je postavený na infraštruktúre verejných kľúčov PKI, kde sa k autentizácií využívajú certifikáty.

Obr.3

 

 


Skoč na navigáciu

Dnes

Dnes je Streda, 20. Septembra 2017.
Meniny má Ľuboslav, Ľuboslava, zajtra Matúš.
Pošli pozdrav

Ponuka služieb

Anketa

Aké informácie hľadáte na našej web stránke?

Celkový počet hlasujúcich: 57588