Changes between Version 30 and Version 31 of WikiStart


Ignore:
Timestamp:
Apr 17, 2013, 7:24:09 PM (12 years ago)
Author:
walter
Comment:

--

Legend:

Unmodified
Added
Removed
Modified

  • WikiStart

    v30 v31  
    1 = eduroam via Wireless Leiden =
    2 
    3 Het doel van dit project is het ontwikkelen en testen van een prototype accesspoint (en achterliggende infrastructuur) dat de mogelijk bied: studenten (onderzoekers, docenten en overige medewerkers van een educatieve-instelling) "veilig" toegang tot het internet te verschaffen door naadloze integratie van [http://www.eduroam.org eduroam] op het "open" netwerk van Wireless Leiden. De betekenis van de eduroam roaming-infrastructuur laat zich in het hieronder volgende voorbeeld ophelderen!
    4 
    5 == wat is eduroam ==
     1= eduroam toegang via Wireless Leiden =
     2
     3Het doel van dit project is het ontwikkelen en testen van een prototype accesspoint (en achterliggende infrastructuur) dat het mogelijk maakt: studenten (onderzoekers, docenten en overige medewerkers van een educatieve-instelling) "veilig" toegang tot het internet te bieden door naadloze integratie van [http://www.eduroam.org eduroam] op het "open" netwerk van Wireless Leiden. De betekenis van de eduroam roaming-infrastructuur laat zich in het hieronder volgende voorbeeld ophelderen!
     4
     5== Wat is eduroam? ==
    66
    77Onderwijsinstelling 'X' wil al zijn studenten eenvoudig op hun "beveiligde en gesloten" draadloze netwerk aansluiten om hen toegang tot internet en printen te verschaffen. Dit draadloze netwerk dat met vele toegangspunten (AP=AccessPoints / Hotpots) door het hele complex dekkend is, word ''wel'' met ''een enkele generieke'' naam "X-netwerk" aangelegd, maar ''niet'' met ''een enkel generiek'' wachtwoord! De onderwijsinstelling heeft al zijn leden al geregistreerd in een personendatabase en heeft voor ieder herleidbaar persoon namelijk al een ''unieke'' accountnaam en wachtwoord aangemaakt. Door de authenticatie en autorisatie tot het "gesloten en beveiligde" draadloze netwerk via de inloggegevens uit de personendatabase te laten verlopen, weet ieder lid direct zijn eigen wachtwoord om direct toegang tot het draadloze netwerk te krijgen. Daarnaast weet de instelling een mogelijk wachtwoord lek te herleiden tot een uniek persoon.
     
    1616Dit eduroam systeem zorgt er uiteindelijk voor dat je als onderwijsinstelling in een strikter wordend klimaat van beveiliging, geslotenheid en aansprakelijkheid toch een verantwoordelijk een dienst dat open, toegankelijk van karakter is kan bieden.
    1717
    18 == betrokkenheid Wireless Leiden ==
     18== De betrokkenheid Wireless Leiden? ==
    1919
    2020Wireless Leiden neemt momenteel niet als "identity provider" deel aan eduroam, maar faciliteerd louter het doorgeven van de vereiste authenticatie "aanvragen" en autorisatie "goedkeuringen" via een grotendeels intern ontwikkeld prototype infrastructuur.
     
    2525*Ontwikkelaars van Wireless Leiden zelf kunnen de roaming eigenschap van deze infrastuctuur alleen gebruiken, testen en ontwikkelen wanneer ze beschikken over een geldig accountsnaam en wachtwoord dat geleverd is door een aan eduroam/surf foundation gelieerde identity provider. Als voorbeeld Universiteit Leiden of Hogeschool Leiden. Wel zou er voor hen via een interne identity provider van Wireless Leiden zelf een account gemaakt kunnen worden, maar omdat deze niet centraal gekoppeld is werkt dit niet wanneer ontwikkelaars van het Wireless Leiden eduroam netwerk naar het Universiteits eduroam overgaan. Het Universiteits eduroam netwerk kan namelijk via de centrale server niet bij de onbekende Wireless Leiden interne identity provider komen en zal deze mensen niet op zijn netwerk toelaten. Hiermee word direct duidelijk dat een wederzijdse samenwerking nodig is om het onbegrensde karakter eduroam(ing) te laten werken en beschermen! Een andere mogelijkheid zou het aanvragen van een test-account bij de surf foundation zijn.
    2626
    27 == technische en organisatorische benodigdheden ==
     27== HOWTO ==
     28
     29=== technische en organisatorische benodigdheden ===
    2830
    2931Voor de realisatie voor de ondersteunende eduroam infrastructuur op het Wireless Leiden netwerk is gekozen voor twee verschillende type installaties met idem verschillende functionaliteit namelijk:
    30 1. meerdere type "AccesPoints" die als "eduroam" hotspot zullen fungeren met als basis OpenWRT.
    31 2. een enkel centraal en vaste gepositioneerde "Radius Proxy" en gateway met als basis FREEBSD.
    32 De verbinding tussen deze twee typen installaties word via een OpenVPN tunnels beveiligd en geencrypt opgezet waardoor het mogelijk onveilige karakter van het open WirelessLeiden vervalt. Naast deze hardware matige en software matige eisen zijn er nog vier andere organisatorische eisen nodig waaronder:
     321. meerdere type "AccesPoints" die als "eduroam" accesspoints zullen fungeren met als basis OpenWRT.
     332. een enkel centraal en vaste gepositioneerde "Radius Proxy & gateway" met als basis FREEBSD.
     34De verbinding tussen deze twee typen installaties word via OpenVPN tunnels beveiligd en geencrypt opgezet waardoor het mogelijk onveilige karakter van het open WirelessLeiden vervalt. Naast deze hardware matige en software matige eisen zijn er nog vier andere organisatorische eisen nodig waaronder:
    33351. toegang/inlog-gegevens tot de centrale eduroam/surf foundation identityprovider koppel server.
    34362. ip whitelisting voor toegang tot die server.
    35373. inloggegevens/account van een aan eduroam gelieerde onderwijsinstelling om het netwerk op te kunnen!
    36384. certnode die het creeeren van openvpn certificaten en config bestand faciliteert.
    37 Met deze middelen en een complete handleiding die nu volgt is een plug en play exploitatie van eduroam toegangspunten waar dan ook (binnen het Wireless Leiden netwerk) snel en eenvoudig te realiseren.
    38 
    39 ==
    40 
     395. buildmachines voor firmware
     406. tot internet?
     41Met deze middelen en een complete voor zover mogelijk lineaire stap voor stap handleiding die nu volgt is een plug en play exploitatie van eduroam toegangspunten waar dan ook (binnen het Wireless Leiden netwerk) snel en eenvoudig te realiseren.
     42
     43=== setup eduroam AccessPoints ===
     44==== achtergrond ===
     45Als complete outdoor accesspoints gebruiken we diverse Ubiquiti apparaten waaronder Bullets en NanoStations. Door het gebruik van het opensource software RouterOS [http://www.openwrt.org OpenWRT] en gerelateerde software projecten, is deze setup niet gelimiteerd aan een merk en of type hardware. Een kleine aanpassing aan de configuratie bestanden zou een vereiste kunnen zijn voordat het op andere hardware platvormen werkt. De handleiding zal overigens alleen gespitst zijn op de Ubiquity Bullet m2 HP.
     46Met deze flexibele fundering is het doel om accesspoints die maar in enkele opzichten van elkaar kunnen verschillen zo gemakkelijk en snel mogelijk in grote hoeveelheden geautomatiseerd te kunnen configureren. Het verschil tussen de accesspoints komt deels uit hoek van beveiliging en deels uit de hoek van de toepassing. Als een enkel accesspoint gehackt is kan deze los van de andere accesspoint toegang tot de radius proxy ontzegt worden en zijn de andere accesspoints nog operationeel. Als toepassing is het handig dat het eduroam accesspoint op de burcht in Leiden als multi SSID "ap.burcht.wleiden.net" kan heten in zijn en de eduroam accesspoint bij de Hortus Botanicus "ap.hortusbotanicus.wleiden.net". Deze voorbeelden duiden erop dat er toch kleine specifieke wijzigingen tussen de accespoints vereist zijn.     
     47
     48 
     49=== setup Radius Proxy  & gateway ===
     50Moet nog uitgezocht / getest worden, zie oud voorbeeld!!! Wel kan ik specifieke veranderingen van config nbestanden en opties/paramters toevoegen!
     51
     52=== certnode sunfire uitzoeken ===
     53Heeft huub destijds uitgevoerd!
     54
     55= Oude handleiding =
    4156== A. Achtergrond informatie ==
    4257
     
    100115          lit indicating that the device is ready for recovery.
    101116
    102        On your computer
    103        5. Go to the location of the OpenWRT build for your platform
     117       On your computer go to the location of the OpenWRT build for your platform
     118       5.
    104119{{{
    105120cd bin/ar71xx/
     
    112127{{{
    113128bin
    114 }}}
    115        8.
    116 {{{
    117129trace
    118 }}}
    119        9.
    120 {{{
    121130put openwrt-ar71xx-ubnt-bullet-m-squashfs-factory.bin
    122 }}}
    123       10.
    124 {{{
    125131quit
    126132}}}
    127       11. Wait for a couple of minutes, your bullet will be reachable on 192.168.1.1 as openwrt
     133      8. Wait for a couple of minutes, your bullet will be reachable on 192.168.1.1 as openwrt
    128134
    129135 7. Default password: Edur0@m
     
    160166Data Base Updated
    161167
    162       5. in you home directory there will be a file called <name>.tar, copy this file
     168      5. in you home directory "on cert node sunfire itself" there will be a file called <name>.tar, copy this file
    163169         to a network reachable the bullet locally
    164       6. untar it: tar -xf <name>.tar
     170      6. untar it:
     171{{{
     172tar -xf <name>.tar
     173}}}
    165174      7. In the current directory there will now be a folder called keys, cd in to it
    166       8. execeute: sh upload <local ip of bullet>
     175      8. execeute:
     176{{{
     177sh upload <local ip of bullet>
     178}}}
    167179      9. Enter the root password twice, after which your bullet will reboot
    168      10. You bullet will build a vpn connection according to the data in the tar file
     180     10. You bullet can be connected to the network an will build a vpn connection according to the data in the tar file. Mind de default password and security flaws.
    169181
    170182