Eduroam Az NIIF tervei

Méret: px

Mutatás kezdődik a ... oldaltól:

Download "Eduroam Az NIIF tervei"

Ilona Fülöpné
8 évvel ezelőtt
Látták:

1 Eduroam Az NIIF tervei Fehér Ede HBONE Workshop Mátraháza, november

2 Tartalomjegyzék Mi az Eduroam? Tagok, felhasználók Működési modell Bizalmi szövetségek Felhasznált technológiák Továbbfejlesztési irányok NIIF pilot és csatlakozás 2

3 Mi az Eduroam? Az Eduroam (Education Roaming): szolgáltatás a mobilitás és virtuális kutatói környezet megvalósításához; AutN infrastruktúra- meglévő eszközökre, megoldásokra épül vezetéknélküli hálózati hozzáférés; bizalmi szövetségen alapuló autentikációs keretrendszer, amely a kutató hálózathoz hasonlóan hierarchikusan épül fel; fejlesztési aktivitás a GEANT2-ben (JRA5) Terena trademark: 3

megvalósításához; AutN infrastruktúra- meglévő eszközökre, megoldásokra épül vezetéknélküli

4 Tagok, felhasználók Kutatói hálózati kezdeményezés (TF-Mobility), tagok kutatói hálózati intézmények. ~20 ország, ~400 intézmény Felhasználói a csatlakozó intézmények dolgozói, hallgatói Dinamikus bővülés Hierarchikus felépítés: TERENA Nemzeti kutatói szervezet Tagintézmények Cél a globális lefedettség 4

~20 ország, ~400 intézmény Felhasználói a csatlakozó intézmények dolgozói,

Működési modell Supplicant Authenticator (AP/switch) RADIUS server ELTE User DB RADIUS server BME User DB Gipsz_j@bme.

5 Működési modell Supplicant Authenticator (AP/switch) RADIUS server ELTE User DB RADIUS server BME User DB NIIF Dolgozói VLAN Hallgatói VLAN üzleti VLAN Központi RADIUS Proxy server Működési modell kulcselemei 802.1x RADIUS hierarchia jelzés adat Bizalmi szövetség az intézmények között (megállapodások) Megfelelő azonosítók (SSID, uid) 5 (VLAN kezelés)

hu NIIF Dolgozói VLAN Hallgatói VLAN üzleti VLAN Központi RADIUS Proxy server Működési

6 Felhasznált technológiák 802.1x EAP (RFC 2284) link layer RADIUS (proxy funkciók) WPA-TKIP/MIC, WPA2-/EAS-CCMP Dynamic Key Delivery EAP- MD5 Server None Authentication Supplicant Password Authentication Hash LEAP EAP-TLS EAP-TTLS PEAP Password Hash Password Hash Supplicant Semi-Public Network / Enterprise Edge EAP Over Wireless (EAPOW) EAP over LAN (EAPOL) Public Key (Certificate) Public Key (Certificate or Smart Card) Authenticator (e.g. Access Point or Bridge) Public Key (Certificate) CHAP, PAP, MS- CHAP(v2), EAP Enterprise Network EAP Over RADIUS No Yes Yes Yes Yes Public Key (Certificate) Any EAP, like EAP- MS-CHAPv2 or Public Key Authenticat ionserver 6 R A D I U S

Authentication Hash LEAP EAP-TLS EAP-TTLS PEAP Password Hash Password Hash Supplicant Semi-Public Network / Enterprise Edge EAP Over Wireless (EAPOW) EAP over LAN

Bizalmi szövetség Eduroam egy bizalmi szövetség a hálózati hozzáféréshez érdekében megállapodásokat és szabályokat igényel Kölcsönös hozzáférés az intézményi hálózatokhoz: rugalmasság könnyű

7 Bizalmi szövetség Eduroam egy bizalmi szövetség a hálózati hozzáféréshez érdekében megállapodásokat és szabályokat igényel Kölcsönös hozzáférés az intézményi hálózatokhoz: rugalmasság könnyű kezelhetőség biztonság nyomon követhetőség Eduroam federation szintjei: Eduroam Secretariat NREN intézmény Csatlakozáshoz szükséges: Minimum biztonsági követelmények teljesítése SLA követelmények teljesítése eduroam policy authority elfogadása Lehetséges szankciók elfogadása 7

követhetőség Eduroam federation szintjei: Eduroam Secretariat NREN intézmény Csatlakozáshoz szükséges: Minimum

8 Főbb követelmények 1. Megállapodás az NREN és az Eduroam szövetség között 2. Az NREN és a csatlakozó intézmények között aláírt megállapodás! Főbb kitételek mindkét megállapodásban: Fogadó intézmény AUP-jének betartása Authentikációs szerver működtetése Biztonságos authentikáció (titkosított csatorna) Információ biztosítása a szolgáltatásról Tájékoztatás a biztonsági szintről Oktatást és szupportot az anyaintézmény nyújtja Authentikációs folyamat és hálózatelérés loggolása Biztonsági események jelentése 8

Főbb kitételek mindkét megállapodásban: Fogadó intézmény AUP-jének betartása Authentikációs szerver működtetése Biztonságos

9 Egyéb bizalmi szövetségen alapuló AAI megoldások shibboleth.internet2.edu, stb. Főbb kategorizálási attribútumok: Mit fed le az AAA-ból: AuthN - AuthZ Milyen erőforráshoz történő hozzáférést kezel: Hálózathoz - webes alkalmazásokhoz alkalmazáshoz Két leginkább terjedő, bizalmi szövetségen alapúló megoldás összehasonlítása Eduroam Shibbolet AuthN AuthZ Hálózati hozzáférés (wireless) Alkalmazás hozzáférés 802.1x, Radius SAML Mindkét megoldást magába foglaló rendszerek megjelenése várható 9

alkalmazásokhoz alkalmazáshoz Két leginkább terjedő, bizalmi szövetségen alapúló megoldás összehasonlítása Eduroam Shibbolet AuthN AuthZ

10 Továbbfejlesztési irányok Az infrastruktúra menedzselése és monitorozása XML séma és adatbázis az eduroam hotspot-okról Azonosítók egységesítése (pl. SSID, ciphers): - eduroam - eduroam-wep - dinamikus WEP kulcs eduroam-wpa - WPA+TKIP, eduroam-wpa2 - WPA2 (WPA+AES). Kis intézményeknek: eduroam-in-a-box eduroam kliens: szabad forráskódú több platformon elérhető könnyen kezelhető 10

SSID, ciphers): - eduroam - eduroam-wep - dinamikus WEP kulcs eduroam-wpa - WPA+TKIP,

11 Továbbfejlesztési irányok az autentikációs folyamat függetlenítése bizalmi kapcsolatoktól eduroam trust anchor AA forgalom átmegy valamennyi közbülső végponton Statikus útvonal Menedzselési korlátok.nl delegated trust.hu delegated trust uva.nl P2P kommunikáció niif.hu Lehetséges megoldások: (Diameter, DNSsec, Radsec/DNSroam) 11

végponton Statikus útvonal Menedzselési korlátok.nl delegated trust.

12 NIIF pilot és csatlakozás Cél: az NIIF és a hazai intézmények csatlakozása az Eduroam-hoz A csatlakozáshoz szükséges fejlesztések és adminisztratív feladok végrehajtása Pilot rendszer kiépítése az elkövetkező 3 hónapban pár intézmény bevonásával (BME, ELTE, NIIFI, SzTAKI), a minimális követelmények teljesítése. Weboldal elindítása - műszaki segédletek, policy dokumentumok, hot-spot információk 12

kiépítése az elkövetkező 3 hónapban pár intézmény bevonásával (BME, ELTE, NIIFI, SzTAKI), a

Hasonló dokumentumok

eduroam konfiguráció workshop Mohácsi János NIIF Intézet

eduroam konfiguráció workshop Mohácsi János NIIF Intézet Miért szeretjük a wireless hozzáférést? Intézmény A GÉANT + BIX WLAN Intézmény B WLAN HBONE gerinc GPRS ISP WLAN ISP dial-up ISP ADSL ISP IEEE 802.1x