eduroam next generation

Größe: px

Ab Seite anzeigen:

Download "eduroam next generation"

Wilhelmine Heinrich
vor 5 Jahren
Abrufe

1 eduroam next generation Evolution des internationalen Roaming- Dienstes Stefan Winter, RESTENA DFN Betriebstagung, 3. März 2010

eduroam Forschung und Entwicklung (GN3-JRA3-T1)

2 RESTENA? Réseau Téléinformatique de l'education Nationale et de la Recherche das DFN von Luxemburg Starker Fokus auf internationales Roaming :-) In GN3: Task Leadership für eduroam Forschung und Entwicklung (GN3-JRA3-T1) radsecproxy Chargeable-User-Identity IETF Standardisierung von RADIUS über TLS (a.k.a. RadSec) eduroam jenseits von Europa...

3 Inhalt Aktuelle Nutzerzahlen Chargeable-User-Identity Eine Einführung RADIUS über TLS Grundlagen Zukünftiges Potential radsecproxy Internationales Peering

4 Nutzerzahlen Verdreifachung im letzen Jahr mehrere zehntausend Roaming-Tage pro Monat mehrere hunderttausend erfolgreiche Logins Neue Länder: USA (viele.edu's), Papua-Neuguinea (.pg),... Dadurch aber auch: mehr Disziplin nötig beim Routing als SP: alle unbekannten realms nach oben weiterleiten Als FLR: nur innerhalb der eigenen TLD filtern Nur root Server haben autoritative, globale Liste Beispiel.com kann ich blocken -> FALSCH ( - noch kein Teilnehmer, aber in der Community)

5 International traffic september 2008 october 2008 november 2008 december 2008 january 2009 february 2009 march 2009 april 2009 may 2009 june 2009 july 2009 august 2009 september 2009 october 2009 november 2009 december 2009 (Folie mit freundlicher Genehmigung von SRCE, Kroatien) etlrs1 etlrs2

6 International traffic december 2008 january 2009 february 2009 march 2009 april 2009 may 2009 june 2009 july 2009 august 2009 september 2009 october 2009 november 2009 december (Folie mit freundlicher Genehmigung von SRCE, Kroatien) AuthNcount CSI

7 Chargeable-User-Identity Ausgangspunkt: Benutzer in eduroam sind zu großen Teilen anonym EAP: anonymous outer identity MAC: Adresse änderbar eduroam Prozedere: zum Blocken eines Individuums Heimatorganisation kontaktieren Geht, ist aber langsam und out-of-band Lösung: Implementierung von RFC4372 Chargeable User Identity SP kann einen Hash des inneren Bentzernamens anfragen IdP erstellt ihn und sendet zurück ändert sich nicht, auch bei anderer outer id und MAC Adresse Kann zum Wiedererkennen und Blocken einzelner Benutzer verwendet werden

8 RADIUS über TLS RadSec Standardisierung weit fortgeschritten Ersetzen statischer Verbindungen gut durch getestet... aber wir haben weitergehende Pläne: Dyamic Peer Discovery Idee: User-Name -> DNS Anfrage: eduroam Provider für realm.lu -> dort authentifizieren Format im DNS noch im Flux. Derzeitige Idee: restena.lu has NAPTR record "s" "x-eduroam:radius.tls" "" _radsec._tcp.restena.lu. _radsec._tcp.restena.lu has SRV record radius-1.restena.lu. Unterstützt 2-Phasen-Modell FLR macht DNS Lookups Für teilnehmende SP/IdP bleibt alles wie gehabt Es gilt lediglich: alle IdPs in einem Land müssen ihre NAPTRs gesetzt haben Wenn bereit, kann IdP alles selbst übernehmen

9 RADIUS über TLS - CA Internationales Testbed läuft aus: bestand aus edugain-ca und edugain-sca RA Modell mit zentraler CA in Spanien (RedIRIS) Produktionsinfrastruktur unterscheidet sich: Task in GEANT3: edupki entwickelt One-Statement policies für eduroam IdP und eduroam SP akkreditiert CAs für den eduroam bag Qualifizierte CAs stellen Zertifikate an eduroam Server mit entsprechendem Policy OID Feld aus DFN-PKI selbstverständlich Kandidat hierfür! edupki wird zusätzlich eigene Orphanage CA betreiben, falls ein NREN keine eigene qualifizierte CA bereitstellen kann

10 radsecproxy aktuelles Release + einige Fixes im SVN Neuer Maintainer: Linus Nordberg Feature Requests an Mailingliste: radsecproxy@uninett.no [zum dynamischen Peer Discovery siehe Vortrag von Stig Venaas von der 50. BT]

11 Internationales Peering In Europa gibt es die European eduroam Confederation von GEANT (36 Mitglieder) mit dazu passender Dienstbeschreibung und Policy (DS5.1.1) Konföderationskonzept nicht tragfähig jenseits von Europa NREN Konzept nicht tragfähig jenseits von Europa WIP: eine eduroam Declaration of Conformity regelt grundlegende Fragen (wie: Unterzeichner verpflichtet sich, nur Benutzer in R&E aufzunehmen) weniger spezifisch als die EU-weite Dienstbeschreibung Nur dieses Dokument erlaubt Nutzung des eduroam Trademarks (von TERENA angemeldet)

12 Vielen Dank für Ihre Aufmerksamkeit! Für weitergehende Fragen stehe ich selbstverständlich jetzt und auch später unter zur Verfügung!

Ähnliche Dokumente

Connect. Communicate. Collaborate. JRA5: Roaming. Jürgen Rauschenbach, DFN-Verein DFN-BT, mobile IT 22. Oktober 2008. JRA5 Team

Connect. Communicate. Collaborate. JRA5: Roaming. Jürgen Rauschenbach, DFN-Verein DFN-BT, mobile IT 22. Oktober 2008. JRA5 Team JRA5: Roaming Jürgen Rauschenbach, DFN-Verein DFN-BT, mobile IT 22. Oktober 2008 Visionen und Ziele in JRA5 1) Aufbau einer Roaming Infrastruktur in Europa. Motto: open your laptop and be online 2) Aufbau