9 koraka za implementaciju eduroam servisa
1. Realizujte bazu korisničkih imena i lozinki za svoje korisnike (IdP)
Da bi institucija svojim korisnicima omogućila da pristupe eduroam servisu, neophodno je da im obezbedi korisničko ime i lozinku. Identiteti korisnika mogu se čuvati u bilo kojoj bazi (Aktivni direktorijum, LDAP, SQL i sl.)
Što se tiče kvaliteta podataka i procedura dodeljivanja, održavanja i ukidanja identiteta, minimalni uslovi moraju biti ispunjeni. Osim korisničkog imena i lozinke, u digitalnom identitetu osobe mora se nalaziti dovoljno podataka da se može identifikovati prava osoba koja koristi određeno korisničko ime. Takođe, identiteti se mogu dodeliti samo osobama koje su u datom trenutku u vezi sa matičnom institucijom (student, zaposeni, gost, itd.) i moraju biti isključivo lični.
2. Implementirajte RADIUS autentifikaciju (IdP i RP)
Za kontrolu pristupa u eduroam servisu koristi se RADIUS autentifikacioni protokol. U tom cilju neophodno je instalirati RADIUS server, a popularne platforme su:
- FreeRADIUS (uputstvo)
- Radiator
- Microsoft IAS
3. Odaberite autentifikacioni mehanizam koji ćete koristiti (IdP)
Ukoliko je vaša institucija davalac identiteta, pre svega potrebno je da odaberete tip EAP autentifikacije koji ćete implementirati na RADIUS serveru. Bez obzira gde se nalazio, korisnikov uređaj “zatvara” autentifikacioni tunel sa RADIUS serverom svoje matične institucije i koristi EAP tip koji implementira njegova matična institucija.
Dva tipa EAP autentifikacije koji se primarno koriste su EAP-PEAP i EAP-TTLS. Izbor tipa EAP autentifikacionog mehanizma može biti ograničen formatom u kom se čuva korisnička lozinka. Ako vaš RADIUS server podržava simultanu implementaciju više EAP autentifikacionih tipova, možete implemetirati oba. U tabeli ispod date su uporedne karakteristika oba EAP tipa.
tip EAP autentifikacije | Metod autentifikacije unutar tunela | Komentar |
PEAP | MSCHAPv2 | MSCHAPv2 može jedino biti implementiran ako se lozinke korisnika u bazi nalaze u NT hash ili u clear-text formi. Prednost PEAP-a je u tome što je inicijalno podržan na Microsof Windows platformama bez instalacije dodatnog softvera. |
TTLS | PAP, CHAP, MSCHAPv2 | Inicijalna podrška na MacOS i Linux sistemima. MS Windows korisnici moraju instalirati dodatni program da bi se povezali na eduroam. |
4. Implementacija digitalnog sertifikata na RADIUS server (IdP)
Svrha digitalnih sertifikata RADIUS servera je da korisnicima omogući proveru autentičnosti RADIUS servera matične institucije kome prosleđuju svoje kredencijale pri pristupu eduroam usluzi. Ako se provera digitalnih sertifikata ne koristi, postoji mogućnost da se korisnik poveže na lažan zlonameran eduroam hotspot odnosno RADIUS server. Pri tome korisnikovi kredencijali mogu biti ukradeni ili se može vršiti uvid i/ili Man-in-the-middle napad nad podacima koji korisnik šalje preko lažnog eduroam hotspota.
AMRES je obezbedio besplatne TCS (TERENA Certificate Service) serverske sertifikate, koje možete instalirati na vaš RADIUS server, kao i uputstva za dobijanje i instalaciju sertifikata.
5. Obezbedite infrastrukturu za pristup eduroam servisu (RP)
Infrastruktura za pristup eduroam servisu može biti:
- Žičana – svič koji podržava 802.1x standard
- Bežična – bežične tačke pristupa (Wireless Access Point) – minimalno mora ispuniti 802.11g standard ili bolji (802.11a ili 802.11n) i WPA2/AES enkripciju.
6. Adresiranje (RP)
Na uređajima za pristup eduroam servisu, potrebno je konfigurisati dinamičku dodelu IP adresa korisnicima, korišćenjem DHCP protokola. Pri tome dodeljene adrese mogu biti privatne ili javne. U slučaju da se dodeljuju privatne adrese, preporuka je da davalac resursa čuva i odgovarajuće NAT logove na osnovu kojih se može utvrditi mapiranja javne i privatne adrese koje je korisnik koristio u određenom trenutku. Zbog izbegavanja čuvanja NAT logova koji mogu biti jako glomazni, preporučujemo upotrebu javnih IP adresa.
7. Održavanje log podataka (RP i IdP)
Obzirom da kada korisnik vaše institucije ide u posetu drugoj, ili korisnik druge dolazi u posetu vašoj instituciji može napraviti sigurnostni incident, jako je važno održavanje odgovarajućih logova. Na osnovu ovih logova može se utvrditi koji korisnik je odgovoran za eventualni prouzrokovani incident.
Za davaoca resursa su ovi preporuke zahtevnije, ali one su date u cilju zaštite integriteta institucije u slučaju kada korisnik koji je u poseti napravi sigurnosni incident. Više informacije o održavanju logova pogledajte u prezentaciji “Podrška korisnicima i eskalacija problema“ na strani sa uputstvima.
8. Politika eduroam saobraćaja (RP)
Minimalan set servisa koje je potrebno dozvoliti eduroam korisnicima je definisan u AMRES eduroam pravilniku.
Obzirom da je u AMRES mreži za web saobraćaj obavezno korišćenje proksi servera, ova restrikcija postavlja se i na saobraćaj koji se šalje putem eduroam pristupne infrastrukture.
Po pravilima eduroam servisa, može se koristiti transparentni ili netransparentni proksi server. Ako se koristi transparetni proksi server, korisnici ne moraju vršiti dodatna podešavanja i ovaj način se preporučuje. Ukoliko se odlučite za netransparentni proksi, u obavezi ste da obezbedite i uputstva za podešavanje korisničkih uređaja.
Za ostvarivanje ovog zahteva možete odabrati jednu od dve opcije:
- Možete koristiti vaš proksi server.
- AMRES je obezbedio transparentni proksi server koji možete koristiti. Sve što je potrebno da uradite je da nam prijavite opseg IP adresa koje koristite za eduroam servis, a o svemu ostalom brinemo mi.
9. eduroam CAT
eduroam CAT (Configuration Assistant Tool) vam omogućava da kreirate eduroam instalere za različite klijentske platforme. Ovi eduroam instaleri se konfigurišu prema specifičnim podacima i eduroam podešvanjima na instituciji, tako da se mogu podesiti ime i logo institucije, helpdesk kontakt i što je najvažnije RADIUS podešvanja poput sertifikata servera, načina autentifikacije itd. Instaleri za eduroam kreirani preko CAT alata u sebi sadrže sva potrebna podešavanja uključujući i sertifikate RADIUS servera institucije tako da se postiže maksimalna sigurnost i zašita korisnikovih kredencijala.