Changes between Version 27 and Version 28 of WikiStart


Ignore:
Timestamp:
Apr 17, 2013, 5:22:32 PM (12 years ago)
Author:
walter
Comment:

Al deze commits vanaf huub tot aan mij tot ik klaar ben volgende week kunnen allemaal weg. Ben nog met opmaak en inhoud en dergelijk aan het stoeien!

Legend:

Unmodified
Added
Removed
Modified
  • WikiStart

    v27 v28  
    11= eduroam via Wireless Leiden =
    22
    3 Het doel van dit project is het ontwikkelen en testen van een prototype accesspoint (en achterliggende infrastructuur) dat de mogelijk bied: studenten (onderzoekers, docenten en overige medewerkers van een onderwijsinstelling) "veilig" toegang tot het internet te verschaffen door naadloze integratie van [http://www.eduroam.org eduroam] op het "open" netwerk van Wireless Leiden.
    4 
    5 == eduroam algemeen ==
    6 
    7 De eduroam roaming-infrastructuur laat zich in het hier volgende voorbeeldscenario ophelderen.
    8 Onderwijsinstelling 'X' wil al zijn studenten eenvoudig op hun "beveiligde en gesloten" draadloze netwerk aansluiten om hen toegang tot internet en printen te verschaffen. Dit draadloze netwerk dat met vele toegangspunten (AP=AccessPoints/Hotpots) door het hele complex dekkent is, word ''wel'' met een enkele generieke naam "X-netwerk" aangelegt, maar ''niet'' met een enkel generiek wachtwoord. Daarentegen heeft de instelling al zijn leden al geregeristeerd in een personendatabase en heeft voor ieder herleidbaar persoon al een ''unieke'' accountnaam en wachtwoord aangemaakt. Door de authenticatie en authorisatie tot het "gesloten en beveiligde" draadloze netwerk te laten verlopen via de inloggegevens uit de personendatabase, weet ieder lid direct zijn eigen wachtwoord om toegang tot het draadloze netwerk te krijgen. Daarnaast weet de instelling een mogelijk wachtwoord lek direct te herleiden tot een uniek persoon.
    9 In de gebruikelijke situatie wanneer Student 'Xx' bij zijn eigen onderwijsinstelling X vanuit de kantine het beveiligde en draadloze netwerk "X-netwerk" op wil, dan configureert deze eenmalig zijn laptop (tablet en of telefoon) en gebruikt hiervoor de voor hem of haar al bekende unieke inloggegevens. Iedere volgende keer wanneer student Xx binnen het eigen complex wil werken (of loopt) is zijn apparaat automatisch verbonden met hetzelfde draadloze "X-netwerk" (al dan niet via een andere toegangspunt vanuit collegezaal of bibliotheek). Dit verschijnsel waarbij het apparaat van de gebruiker, zonder dat hij of zij het opmerkt automatisch van toegangspunt naar toegangspunt word "roaming" genoemd.
    10 
    11 Maar nu, onderwijsinstelling 'Y' heeft exact dezelfde infrastructuur als onderwijsinstelling X, maar Y merkt dat wanneer gastdocenten van X met hun laptop op bezoek komen zij niet (automatisch) bij Y het internet op kunnen. Het is voor de onderwijsinstelling en de gebruikers omslachtig om iedereen opnieuw te registreren, een tijdelijk wachtwoord tegeven en of hun apparaten te herconfigureren.
    12 
    13 Als oplossing draagt onderwijsinstelling Y [http://www.eduroam.org eduroam] aan. Door op beide onderwijsinstelling de naam van het draadloze netwerk gelijk te maken "eduroam", gaan laptops, tablets of telefoons wanneer ze van locatie veranderen automatisch het netwerk op dat ze herkennen? Dit werkt nog niet direct, er mist namelijk een essentieel onderdeel! Onderwijsinstelling Y heeft niet de personendatabase met inloggegevens van onderwijsinstelling X om tegen te authenticeren, dus gebruikers van X op het netwerk bij Y krijgen alsnog de melding dat hun inloggegevens ongeldig zijn, nadat hun apparaten automatisch en tevergeefs proberen te verbinden.
    14 Wanneer er nu via een "centrale server" alleen de authenticatie "aanvragen" doorgestuurd worden naar die van de eigen instelling en de authorisatie "goedkeuringen" worden afgeleverd bij de instelling waar de gebruiker zich bevind, dan blijven de persoonsgegevens binnen de eigen onderwijsinstelling waar ze horen en kan de gebruiker bij de andere instelling toch het internet op zonder ook maar iets aan zijn apparaat te hoeven instellen. Vergelijkbaar met mobiele telefoons die tijdens het telefoon gesprek in een auto rit van stad A naar B diverse toegangspunten (Telefoon Cells) passeren, zonder dat de gebruiker het merkt dat zijn verbinding weg valt.
     3Het doel van dit project is het ontwikkelen en testen van een prototype accesspoint (en achterliggende infrastructuur) dat de mogelijk bied: studenten (onderzoekers, docenten en overige medewerkers van een educatieve-instelling) "veilig" toegang tot het internet te verschaffen door naadloze integratie van [http://www.eduroam.org eduroam] op het "open" netwerk van Wireless Leiden. De eduroam roaming-infrastructuur laat zich in het hieronder volgende showcase ophelderen.
     4
     5== eduroam showcase ==
     6
     7Onderwijsinstelling 'X' wil al zijn studenten eenvoudig op hun "beveiligde en gesloten" draadloze netwerk aansluiten om hen toegang tot internet en printen te verschaffen. Dit draadloze netwerk dat met vele toegangspunten (AP=AccessPoints / Hotpots) door het hele complex dekkend is, word ''wel'' met ''een enkele generieke'' naam "X-netwerk" aangelegd, maar ''niet'' met ''een enkel generiek'' wachtwoord! De onderwijsinstelling heeft al zijn leden al geregistreerd in een personendatabase en heeft voor ieder herleidbaar persoon namelijk al een ''unieke'' accountnaam en wachtwoord aangemaakt. Door de authenticatie en autorisatie tot het "gesloten en beveiligde" draadloze netwerk via de inloggegevens uit de personendatabase te laten verlopen, weet ieder lid direct zijn eigen wachtwoord om direct toegang tot het draadloze netwerk te krijgen. Daarnaast weet de instelling een mogelijk wachtwoord lek te herleiden tot een uniek persoon.
     8In de gebruikelijke situatie wanneer een student bij zijn eigen onderwijsinstelling X vanuit de kantine het beveiligde en draadloze netwerk "X-netwerk" op wil, dan configureert deze eenmalig zijn laptop (tablet en of telefoon) en gebruikt hiervoor de voor hem of haar al bekende unieke inloggegevens. Iedere volgende keer wanneer deze student binnen het eigen complex wil werken (of loopt) is zijn apparaat automatisch verbonden met hetzelfde draadloze "X-netwerk" (al dan niet via een andere toegangspunt vanuit collegezaal of bibliotheek). Dit verschijnsel waarbij het apparaat van de gebruiker, zonder dat hij of zij het opmerkt automatisch van toegangspunt naar toegangspunt verspringt, bereikbaar en bruikbaar blijft word "roaming" genoemd.
     9
     10Maar nu, onderwijsinstelling 'Y' heeft exact dezelfde infrastructuur als onderwijsinstelling X, maar Y merkt dat wanneer gastdocenten van X met hun laptop op bezoek komen zij niet (automatisch) bij Y het internet op kunnen. Tevens is het voor de onderwijsinstelling en de gebruikers omslachtig om iedereen opnieuw te registreren, een tijdelijk wachtwoord te geven en of hun apparaten te herconfigureren voor (tijdelijke) gebruik van het  beveiligde en gesloten netwerk.
     11
     12Als oplossing draagt onderwijsinstelling Y [http://www.eduroam.org eduroam] aan. Hiervoor gaan beide onderwijsinstelling X en Y de naam van hun draadloze netwerk gelijkmaken aan de generieke naam "eduroam". Wanneer (gast)gebruikers van X bij onderwijs instelling Y op bezoek zijn gaan hun laptops, tablets of telefoons automatisch het gelijknamige netwerk van onderwijsinstelling Y op. Dit werkt helaas nog niet direct, maar wel bijna! Onderwijsinstelling Y heeft namelijk niet de personendatabase met inloggegevens van onderwijsinstelling X om tegen te authenticeren, dus gebruikers van X op het netwerk bij Y krijgen alsnog de melding dat hun inloggegevens niet worden herkend!
     13Wanneer er nu via een "centrale server" alleen de authenticatie "aanvragen" doorgestuurd worden naar die van de eigen instelling en de autorisatie "goedkeuringen" worden afgeleverd bij de instelling waar de gebruiker zich bevind, dan blijven de persoonsgegevens binnen de eigen onderwijsinstelling waar ze horen en kan de gebruiker bij de andere instelling toch het netwerk/internet op zonder ook maar iets aan zijn apparaat te hoeven veranderen. Vergelijkbaar met mobiele telefoons die tijdens het telefoongesprek in een auto rit van stad A naar B diverse toegangspunten (Telefoon Cells) passeren, zonder dat de gebruiker het merkt dat zijn verbinding weg valt.
     14
     15Dit eduroam systeem zorgt er uiteindelijk voor dat je als onderwijsinstelling in een strikter wordend klimaat van beveiliging, geslotenheid en aansprakelijkheid toch een dienst dat open, toegankelijk en verantwoordelijk van karakter is kan bieden.
     16
     17== technische betrokkenheid ==
     18Wireless Leiden neemt als non-onderwijsinstelling momenteel niet als "identity provider" deel aan eduroam, maar faciliteerd louter het doorgeven van de vereiste authenticatie "aanvragen" en autorisatie "goedkeuringen" via een intern ontwikkelde prototype infrastructuur. Tevens houd dit in dat ontwikkelaars van Wireless Leiden zelf, de roaming eigenschap van deze infrastuctuur alleen kunnen gebruiken en testen wanneer ze beschikken over een geldig accountsnaam en wachtwoord dat geleverd is door een aan eduroam/surf foundation gelieerde identity provider. Als voorbeeld Universiteit Leiden of Hogeschool Leiden. Wel zou er voor hen via een interne identity provider van Wireless Leiden zelf een account gemaakt kunnen worden, maar omdat deze niet centraal gekoppeld is werkt dit niet wanneer ontwikkelaars van het Wireless Leiden eduroam netwerk naar het Universiteits eduroam overgaan. Het Universiteits eduroam netwerk kan via de centrale server niet bij de onbekende Wireless Leiden interne identity provider komen en zal deze mensen niet op zijn netwerk toelaten. Hiermee word direct duidelijk dat een wederzijdse samenwerking nodig is om het onbegrensde karakter eduroam(ing) te laten werken en beschermen!
     19Als partieel serviceprovider koppelt Wireless Leiden eduroam gebruikers automatisch en beveiligd door aan de daarvoor aangewezen (onderwijs)netwerken. Een onderwijsinstelling vervult vaak meerdere rollen binnen het eduroam project inclusief internet-gateway, maar Wireless Leiden beperkt zich puur tot de ondersteunende koppeling en integratie van deze diensten.
     20Het unieke aan dit project is niet het scheiden van de identity/service provider eigenschap, maar de integratie van de verdeelde diensten over het losstaand en "open" netwerk van Wireless Leiden.
     21Dit maakt het exploiteren van eduroam draadloze toegangspunten tot op stadsniveau, via het Wireless Leiden netwerk eenvoudig, flexibel en betaalbaar! Dit in tegenstelling tot de vaak door kabel beperkte fysiek inpandige gesloten infrastructuur exploitatie, die zich gemakkelijk door het graven/leggen van dure kabelverbindingen laat uitstellen of zelfs afstellen.
     22
     23== technische en organisatorische opzet ==
     24Voor de realisatie voor de ondersteunende eduroam infrastructuur op het Wireless Leiden netwerk is gekozen voor twee verschillende type installaties met idem verschillende functionaliteit namelijk:
     251. meerdere type "AccesPoints" die als "eduroam" hotspot zullen fungeren gebasseerd op het flexible OpenWRT
     262. een enkel centraal en vaste gepositioneerde "Radius Proxy" en gateway functionerend met FREEBSD.
     27De verbinding tussen deze twee typen installaties word via een OpenVPN tunnel beveiligd en geencrypt waardoor het mogelijk onveilige karakter van het open WirelessLeiden netwerk vervalt. Naast deze hardware matige en software matige eisen zijn er nog twee andere organisatorische eisen nodig waaronder:
     281. toegangs/inlog gegevens tot de centrale eduroam surfnet identityprovider koppelaar
     292. ip whitelisting voor deze server
     303. inloggegevens/account van een aan eduroam gelieerde onderwijsinstelling!
     31
    1532
    1633== A. Achtergrond informatie ==