Changes between Version 31 and Version 32 of WikiStart


Ignore:
Timestamp:
Apr 17, 2013, 8:04:17 PM (12 years ago)
Author:
walter
Comment:

--

Legend:

Unmodified
Added
Removed
Modified

  • WikiStart

    v31 v32  
    1 = eduroam toegang via Wireless Leiden =
     1= eduroam via Wireless Leiden =
    22
    33Het doel van dit project is het ontwikkelen en testen van een prototype accesspoint (en achterliggende infrastructuur) dat het mogelijk maakt: studenten (onderzoekers, docenten en overige medewerkers van een educatieve-instelling) "veilig" toegang tot het internet te bieden door naadloze integratie van [http://www.eduroam.org eduroam] op het "open" netwerk van Wireless Leiden. De betekenis van de eduroam roaming-infrastructuur laat zich in het hieronder volgende voorbeeld ophelderen!
     
    1414Wanneer onderwijsinstelling Y nu alleen de authenticatie "aanvragen" doorgestuurd via een "centrale server" op internet die op zijn beurt weer doorgekoppeld is aan de personendatabase van de eigen onderwijsinstelling (X in dit geval) en de autorisatie "goedkeuringen" via diezelfde route weer terug afleverd bij de instelling waar de gebruiker zich bevind, dan blijven de persoonsgegevens binnen de eigen onderwijsinstelling waar ze horen en kan de gebruiker na autorisatie bij de andere instelling toch het netwerk/internet gebruiken. Dit allemaal zonder ook maar iets aan zijn eigen apparaat te hoeven veranderen! Vergelijkbaar met mobiele telefoons die tijdens het telefoongesprek in een auto rit van stad A naar B diverse toegangspunten (Telefoon Cells) passeren, zonder dat de gebruiker het merkt dat zijn verbinding weg valt.
    1515
    16 Dit eduroam systeem zorgt er uiteindelijk voor dat je als onderwijsinstelling in een strikter wordend klimaat van beveiliging, geslotenheid en aansprakelijkheid toch een verantwoordelijk een dienst dat open, toegankelijk van karakter is kan bieden.
    17 
    18 == De betrokkenheid Wireless Leiden? ==
    19 
     16Dit eduroam systeem maakt het als onderwijsinstelling mogelijk om in een strikter wordend klimaat van beveiliging, geslotenheid en aansprakelijkheid toch verantwoordelijk een dienst dat open en toegankelijk is van karakter te bieden.
     17
     18Kortom het begrip eduroam betekent voor "gebruikers" zoals studenten en medewerkers dat ze zonder poespas gebruik kunnen maken van het internet via het netwerk van hun eigen of gelieerde instelling. Het is voor hen niet meer dan de draadloze netwerknaam van de hotspot die ze aantreffen op hun laptop en of smartphone wanneer ze hiermee succesvol verbinden.
     19
     20== Betrokkenheid van Wireless Leiden? ==
     21
     22De betekenis en werkwijze van eduroam voor dit Wireless Leiden project is vanuit een "aanbieders" perspectief. Daarbij zal voornamelijk de onderliggende werking en infrastructuur om eduroam accesspoints voor "gebruikers" op te zetten tersprake komen. 
    2023Wireless Leiden neemt momenteel niet als "identity provider" deel aan eduroam, maar faciliteerd louter het doorgeven van de vereiste authenticatie "aanvragen" en autorisatie "goedkeuringen" via een grotendeels intern ontwikkeld prototype infrastructuur.
    2124Als partieel serviceprovider koppelt Wireless Leiden eduroam gebruikers automatisch en beveiligd door aan de daarvoor aangewezen (onderwijs)netwerken. Een onderwijsinstelling vervult vaak meerdere rollen binnen het eduroam project inclusief internet-gateway, maar Wireless Leiden beperkt zich puur tot de ondersteunende koppeling en integratie van deze diensten.
     25
    2226Het unieke aan dit project is niet het scheiden van de identity/service provider eigenschap, maar de integratie van de verdeelde diensten over het losstaand en "open" netwerk van Wireless Leiden.
    23 Dit maakt het exploiteren van eduroam draadloze toegangspunten via het Wireless Leiden netwerk in publieke ruimte niet alleen, eenvoudig, flexibel en betaalbaar maar doet dit zelfs tot op stadsniveau! De huidige implementatie is een win-win situatie voor betrokken partijen, door de huidige multi SSID techniek neemt zowel de dekking van het eduroam netwerk van een onderwijsinstelling als het Wireless Leiden netwerk toe. Dit in tegenstelling tot de vaak door onderwijsinstelling geisoleerde fysiek inpandige en gesloten infrastructuur exploitatie, die zich gemakkelijk door het graven/leggen van dure kabelverbindingen laat uitstellen of zelfs afstellen.
     27Dit maakt het exploiteren van eduroam draadloze dekking via het Wireless Leiden netwerk in publieke ruimte niet alleen eenvoudig, flexibel en betaalbaar maar kan dat zelfs op stadsniveau! De huidige implementatie is een win-win situatie voor betrokken partijen, door de huidige multi SSID techniek neemt zowel de dekking van het eduroam netwerk van een onderwijsinstelling als het Wireless Leiden netwerk toe. Dit in tegenstelling tot de vaak door onderwijsinstelling geisoleerde fysiek inpandige en gesloten infrastructuur exploitatie, die zich gemakkelijk door het graven/leggen van dure kabelverbindingen laat uitstellen of zelfs afstellen.
    2428
    2529*Ontwikkelaars van Wireless Leiden zelf kunnen de roaming eigenschap van deze infrastuctuur alleen gebruiken, testen en ontwikkelen wanneer ze beschikken over een geldig accountsnaam en wachtwoord dat geleverd is door een aan eduroam/surf foundation gelieerde identity provider. Als voorbeeld Universiteit Leiden of Hogeschool Leiden. Wel zou er voor hen via een interne identity provider van Wireless Leiden zelf een account gemaakt kunnen worden, maar omdat deze niet centraal gekoppeld is werkt dit niet wanneer ontwikkelaars van het Wireless Leiden eduroam netwerk naar het Universiteits eduroam overgaan. Het Universiteits eduroam netwerk kan namelijk via de centrale server niet bij de onbekende Wireless Leiden interne identity provider komen en zal deze mensen niet op zijn netwerk toelaten. Hiermee word direct duidelijk dat een wederzijdse samenwerking nodig is om het onbegrensde karakter eduroam(ing) te laten werken en beschermen! Een andere mogelijkheid zou het aanvragen van een test-account bij de surf foundation zijn.
     
    4246
    4347=== setup eduroam AccessPoints ===
    44 ==== achtergrond ===
     48==== achtergrond ====
    4549Als complete outdoor accesspoints gebruiken we diverse Ubiquiti apparaten waaronder Bullets en NanoStations. Door het gebruik van het opensource software RouterOS [http://www.openwrt.org OpenWRT] en gerelateerde software projecten, is deze setup niet gelimiteerd aan een merk en of type hardware. Een kleine aanpassing aan de configuratie bestanden zou een vereiste kunnen zijn voordat het op andere hardware platvormen werkt. De handleiding zal overigens alleen gespitst zijn op de Ubiquity Bullet m2 HP.
    46 Met deze flexibele fundering is het doel om accesspoints die maar in enkele opzichten van elkaar kunnen verschillen zo gemakkelijk en snel mogelijk in grote hoeveelheden geautomatiseerd te kunnen configureren. Het verschil tussen de accesspoints komt deels uit hoek van beveiliging en deels uit de hoek van de toepassing. Als een enkel accesspoint gehackt is kan deze los van de andere accesspoint toegang tot de radius proxy ontzegt worden en zijn de andere accesspoints nog operationeel. Als toepassing is het handig dat het eduroam accesspoint op de burcht in Leiden als multi SSID "ap.burcht.wleiden.net" kan heten in zijn en de eduroam accesspoint bij de Hortus Botanicus "ap.hortusbotanicus.wleiden.net". Deze voorbeelden duiden erop dat er toch kleine specifieke wijzigingen tussen de accespoints vereist zijn.     
     50Met deze flexibele fundering is het doel om accesspoints die maar in sumiere opzichten van elkaar  verschillen zo gemakkelijk en snel mogelijk in grote hoeveelheden geautomatiseerd te kunnen configureren. Het verschil tussen de accesspoints komt deels uit hoek van beveiliging en deels uit de hoek van de toepassing. Als een enkel accesspoint gehackt is kan deze los van de andere accesspoint toegang tot de radius proxy ontzegt worden en zijn de andere accesspoints nog operationeel. Als toepassing is het handig dat het eduroam accesspoint op de burcht in Leiden als multi SSID "ap.burcht.wleiden.net" heet en de eduroam accesspoint bij de Hortus Botanicus als multi SSID "ap.hortusbotanicus.wleiden.net" laatstaan de dns/host namen. Deze voorbeelden duiden erop dat er toch kleine specifieke wijzigingen tussen de accespoints zeer wenselijk zijn.
     51     
    4752
    4853 
    4954=== setup Radius Proxy  & gateway ===
    50 Moet nog uitgezocht / getest worden, zie oud voorbeeld!!! Wel kan ik specifieke veranderingen van config nbestanden en opties/paramters toevoegen!
     55Moet nog uitgezocht / getest worden, zie oud voorbeeld!!! Wel kan ik specifieke veranderingen van config bestanden en opties/parameters toevoegen aan de huidige setup! zoals openvpn server settings etc opstart bestanden.
    5156
    5257=== certnode sunfire uitzoeken ===
    53 Heeft huub destijds uitgevoerd!
     58Heeft huub destijds uitgevoerd! Waar en hoe dat plaatsvind is nog onduidelijk
    5459
    5560= Oude handleiding =