DFNRoaming/ eduroam St f Pi DFN V i Stefan Piger, DFN-Verein piger@dfn.de
Motivation Einrichtungen im DFN-Umfeld betreiben in der Regel eigene WLAN-Infrastrukturen Nutzer dieser Einrichtungen erwarten unkomplizierten Zugang in der eigenen Einrichtung Auf Dienstreisen ist ein WLAN-Zugang entweder nicht möglich oder aufwändig zu erhalten (Gastzugänge, Einmaltickets für Tagungen)
Was ist eduroam? steht für EDUcation ROAMing bietet einen sicheren Internet-Zugang für reisende Wissenschaftler und Studierende Ziel aus Nutzersicht: Laptop aufklappen und man ist online. DFNRoaming ist die nationale Ausprägung von eduroam Seite 3
Historie eduroam basiert auf Ergebnissen der TERENA TF- Mobility Koordination des Aufbaus im Rahmen von GEANT2 Service Activity 5 (SA5) Joint Research Activity 5 (JRA5) Fortführung von eduroam im Rahmen von GEANT3-Projekt Service Activity 3 (SA3) Joint Research Activity 3 (JRA3) Seite 4
Designziele Einfache Nutzung der Netzinfrastruktur der gastgebenden Einrichtung durch Gäste Garantie einer angemessenen Sicherheit der zur Authentifizierung übertragenen Nutzerdaten Möglichkeit zur Separierung des Gastnetzes von dem der eigenen Einrichtung Verwendung offener Protokolle Skalierbarkeit und Robustheit Nachprüfbarkeit von Authentifizierungsvorgängen Seite 5
Authentifizierung und Autorisierung Authentifizierung Ist der Nutzer der, der er vorgibt zu sein? Identifizierung des Nutzers durch seine Heimateinrichtung Autorisierung Welchen Netzwerkzugang bekommt der Nutzer? Entscheidung der gastgebenden Einrichtung, ob sie einen Netzzugang gewähren möchte. Seite 6
Terminologie Heimateinrichtung = Identity Provider betreibt ein Identity Management ist verantwortlich für die Authentifizierung Gastgebende Einrichtung = Service Provider stellt Netzwerkinfrastruktur (z.b. Access Points, VLANs etc.) zur Verfügung Seite 7
Nutzung von IEEE 802.1X Nutzung des Extensible Authentication Protocol (EAP) erlaubt Verwendung einer Vielzahl von Authentifizierungs- methoden TLS, TTLS, PEAP Sicherheit der Authentifizierungsdaten Datenverkehr wird komplett verschlüsselt Einfache Integration durch dynamische VLAN Zuweisung Skalierbarkeit RADIUS-Anbindung A zu Back-End-Datenbanken k IEEE 802.1X Supplikanten für alle gängigen Plattformen verfügbar Seite 8
IEEE 802.1X in Aktion Cross-domain 802.1X with VLAN assignment Supplicant Authenticator (AP or switch) RADIUS server Institution A User DB RADIUS server Institution B User DB Guest hans@institution_b.de Internet Employee VLAN Student VLAN Guest VLAN Central RADIUS Proxy server signalling data DFNRoaming Seite 9
Authentifizierung Ablauf (1) Nutzer öffnet Laptop im Bereich eines Network Access Server (NAS) und versucht sich mit SSID eduroam zu verbinden NAS bemerkt neuen Supplikanten Port wird geöffnet und auf nicht autorisiert gesetzt nur IEEE 802.1X-Verkehr ist erlaubt, alles andere wird blockiert. NAS sendet EAP-Request Supplikant sendet Nutzer Login-Daten in EAP-Response Seite 10
Authentifizierung Ablauf (2) NAS leitet Login-Daten weiter zum Identity Provider (IdP) Identity Provider (IdP) validiert Login-Daten Validierung wird zurück zum Service Provider geleitet Port wird auf autorisiert gesetzt normaler Datenverkehr ist erlaubt Seite 11
Nutzung ca. 150 teilnehmende DFN-Einrichtungen ca. 2200 Nutzer täglich im DFN 10% davon sind ausländische Gäste 10% davon sind unsere Nutzer im Ausland ca. 7500 Nutzer täglich europaweit
Verbreitung 1
Verbreitung 2
Verbreitung 3
Verbreitung 4
Verbreitung 5
Verbreitung 6
Verbreitung 7
Verbreitung 8
Verbreitung 9
personeller/zeitlicher Aufwand Personelle Voraussetzungen Mindestens ein Mitarbeiter, der mit einer Radius-Implementierung vertraut ist. Mindestens ein Mitarbeiter, der die Konfiguration von WLAN-Access Points beherrscht. Dauer der Einrichtung wenige Tage (abhängig von der Anzahl der zu konfigurierenden Access Points) Vorraussetzung Nutzerdatenbank für teilnehmende Universitätsangehörige vorhanden.
materieller Aufwand Server-Hardware mindestens ein handelsüblicher PC-Server Server-Software RADIUS- oder RadSec-Implementierung, Anleitung für mehrere Implementierungen (auch Open Source) im eduroam Cookbook vorhanden. WLAN Access Points Unterstützung des Protokolls IEEE 802.1X, sollte bei allen modernen Geräten gegeben sein 802.1X-Supplikanten für Client-Systeme kostenlos verfügbar, integriert in aktuelle Systeme
Zusammenfassung eduroam ist mittlerweile etabliert und wird gut angenommen eduroam stellt einen erheblichen Mehrwert für reisende Wissenschaftler und Studenten dar Aufwand für die Teilnahme an eduroam ist überschaubar Grundlagen werden auf regelmäßig stattfindenden Workshops praxisnah vermittelt I di id ll U t tüt b i k k t F t ll Individuelle Unterstützung bei konkreten Fragestellung durch DFN-Geschäftsstelle