tubit WirelessLAN eduroam 27. November 2008 Martin Schmidt IT Dienstleistungszentrum der TU Berlin (tubit)
Inhalt Historie ehemaliger Netzaufbau akuteller Netzaufbau neue Authentifizierung Management Optionen im WirelessLAN Gastzugänge g Netzausbau Praktische Übung Martin Schmidt WirelessLAN/eduroam 2
Historie Erste Geräte wurden im Sommer 2001 installiert Noch vom PRZ betrieben mit globalem WEP Schlüssel Übername des Betriebes und Wartung durch die ZRZ in 2002 Wechsel von globalem Schlüssel auf benutzerbasierte Authentifizierung g( (VPN) Kontinuierlicher Ausbau auf über 150 Geräte bis Mitte 2006 VPN redundant ausgebaut und WebVPN Dienst gestartet Martin Schmidt WirelessLAN/eduroam 3
ehemaliger Netzaufbau Martin Schmidt WirelessLAN/eduroam 4
Historie 2006: WOTAN II Ausschreibung Neuausstattung mit Cisco Accesspoints und zentral verwalteter t Infrastruktur 2007: Beitritt zum eduroam eduroam Verbund Erstmals ist direkte Authentifikation ohne VPN möglich 2008: Ausbau auf über 250 Accesspoints 100% flächendeckender Endausbau geplant 2010/11 mit 500 Accesspoints Martin Schmidt WirelessLAN/eduroam 5
ehemaliger Netzaufbau Martin Schmidt WirelessLAN/eduroam 6
aktueller Netzaufbau Martin Schmidt WirelessLAN/eduroam 7
neue Authentifizierung Anmeldung direkt am Netz möglich Technik 802.1X mit EAP Supplicant und Authenticator Unterschiedliche h Verfahren möglich (EAP-MD5, EAP-TLS, EAP- SIM, EAP-TTLS, PEAP, LEAP) Martin Schmidt WirelessLAN/eduroam 8
neue Authentifizierung tubit bietet aktuell 2 Verfahren an: EAP-TTLS mit PAP als Innere Authentifikation i EAP-PEAP mit MS-CHAPv2 Authentifikation TTLS: Getunnelte Transport Layer Security Äußerer Tunnel ohne Passwort Innere TLS Verbindung beinhaltet Benutzername/Passwort Warum? Roaming an fremden Universitäten PEAP: Protected EAP Passwort wird nicht über die Leitung geschickt, sondern nur ein Hash (Passwort + Zufallswert welcher vom Server definiert wird) Martin Schmidt WirelessLAN/eduroam 9
802.1X Martin Schmidt WirelessLAN/eduroam 10
802.1X Martin Schmidt WirelessLAN/eduroam 11
aktueller Netzaufbau 4 Netze 802.1X authentifiziert: eduroam und TU-Berlin_802.1X Unverschlüsselt, VPN wird benötigt: VPN/WEB und TU- Berlin_VPN Warum? DFN Vorgabe und der Wunsch zur Identifikation TU-Berlin im Namen vorkommen zu lassen Jeweils kein Unterschied zwischen den beiden Netzen VPN-WLAN nur noch aus Trägheitsgründen, baldmögliche Abschaltung gewünscht Martin Schmidt WirelessLAN/eduroam 12
Management Cisco Wireless Control System zur Konfiguration der Cisco Wireless Service Module Martin Schmidt WirelessLAN/eduroam 13
Management Keine gezielte Überwachung einzelner Rechner möglich, aber umfangreiche Diagnosemöglichkeiten Anzeigen von sogenannten Rouge Accesspoints ( wilden Accesspoints ) Nicht korrekt funktionierenden Accesspoints anzeigen Funklöcher bzw. mangelhafte Versorgung anzeigen Auswertungen regelmäßig erstellen lassen Martin Schmidt WirelessLAN/eduroam 14
Optionen im WLAN VPN Authentifizierung (nicht gewünscht!) Verbinden mit VPN/WEB oder TU-Berlin_VPN und VPN Verbindung herstellen 802.1X Authentifizierung Supplicanten konfigurieren i und WirelessLAN Verbindung herstellen TTLS Äußere Identität: anonymous@tu-berlin.de (kein Password notwendig Innere Identität: <benutzername>@tu-berlin.de (Passwortübermittlung über PAP) Martin Schmidt WirelessLAN/eduroam 15
Optionen im WLAN 802.1X Authentifizierung PEAP Identität: <benutzername>@win.tu-berlin.de (Passwortübermittlung über MS-CHAPv2) Eduroam Kennung Daten der Heimateinrichtung Äußere Identität: anonymous@fu-berlin.de Innere Identität: <benutzername>@zedat.fu-berlin.de Martin Schmidt WirelessLAN/eduroam 16
Gastzugänge Im Portal können temporäre Zugänge angelegt werden Max. 500 auf einmal, max. 180 Tage Gültigkeit Gültigkeitsbeginn kann auch in der Zukunft liegen Voraussetzung: Rolle: GastAccount vom FIO delegiert bekommen Martin Schmidt WirelessLAN/eduroam 17
Gastzugänge Martin Schmidt WirelessLAN/eduroam 18
Netzausbau E-N MA A H EB TA EW (PN) P BIB TIB WF Martin Schmidt WirelessLAN/eduroam 19
Praktische Übung Username: install Passwort: El3arn1ng Martin Schmidt WirelessLAN/eduroam 20
Bekannte Probleme (VPN) Linux Falscher Nameserver in der /etc/resolv.conf / (Muss 130.149.4.20 149 4 sein, NICHT 172.23.0.36) MAC OS X Haken bei Set Nameserver (experimental) vergessen Windows Vista Eingeschaltete t Benutzerkontensteuerung t t (User Agent Control) Martin Schmidt WirelessLAN/eduroam 21