Changes between Version 55 and Version 56 of WikiStart

Timestamp:

May 10, 2013, 12:37:35 PM (12 years ago)

Author:

walter

Comment:

--

WikiStart

@@ -10 +10 @@
 
 Als oplossing draagt onderwijsinstelling Y [http://www.eduroam.org eduroam] aan. Hiervoor gaan beide onderwijsinstelling X en Y de naam van hun draadloze netwerk gelijkmaken aan de generieke naam "eduroam". Wanneer (gast)gebruikers van onderwijsinstelling X bij onderwijs instelling Y op bezoek zijn, gaan hun laptops, tablets of telefoons automatisch het gelijknamige netwerk van onderwijsinstelling Y op. Dit zou direct werken zou je denken, maar helaas nog niet om de volgende rede. Onderwijsinstelling Y heeft natuurlijk niet de personendatabase met inloggegevens van onderwijsinstelling X om gebruikers van X tegen te authenticeren, dus gebruikers van X op het netwerk bij Y krijgen alsnog de melding dat hun inloggegevens niet worden herkend omdat ze als X in de personendatabase van Y ontbreken, logisch toch!
-Wanneer onderwijsinstelling Y nu alleen de authenticatie "aanvragen" door stuurd via een "centrale radius proxy" op internet die op zijn beurt weer doorgekoppeld is aan de personendatabase van de eigen onderwijsinstelling (X in dit geval) en de autorisatie "goedkeuringen" via diezelfde route weer terug afleverd bij de instelling waar de gebruiker zich op het netwerk bevind, dan blijven de persoonsgegevens binnen de eigen onderwijsinstelling waar ze horen en kan de gebruiker na autorisatie bij de andere instelling direct het netwerk/internet op en gebruiken. Dit allemaal zonder dat gebruiker ook maar iets aan zijn of haar eigen apparaat en of instellingen hoeft te veranderen!
+Wanneer onderwijsinstelling Y nu alleen de authenticatie "aanvragen" van gebruikers die ontbreken in zijn personendatabase, door stuurd via een "centrale radius proxy" op internet die op zijn beurt weer gekoppeld is aan de personendatabase van de eigen onderwijsinstelling (X in dit geval) en de autorisatie "goedkeuringen" via diezelfde route weer terug afleverd bij instelling Y waar de gebruiker X zich op het netwerk bevind, dan blijven de persoonsgegevens binnen de eigen onderwijsinstelling waar ze horen en kan de gebruiker na autorisatie bij de andere instelling direct het netwerk/internet op en gebruiken. Dit allemaal zonder dat gebruiker ook maar iets aan zijn of haar eigen apparaat en of instellingen hoeft te veranderen!
 
 Dit eduroam systeem maakt het als onderwijsinstelling mogelijk om in een strikter wordend klimaat van beveiliging, geslotenheid en aansprakelijkheid toch verantwoordelijk een dienst dat open en toegankelijk is van karakter te bieden.
@@ -21 +21 @@
 Als partieel serviceprovider koppelt Wireless Leiden eduroam gebruikers automatisch en beveiligd door aan de daarvoor aangewezen (onderwijs)netwerken. Een onderwijsinstelling vervult vaak meerdere rollen binnen het eduroam project inclusief internet-gateway, maar Wireless Leiden beperkt zich puur tot de ondersteunende koppeling en integratie van deze diensten.
 
-Het unieke aan dit project is niet het scheiden van de identity/service provider eigenschap, maar de integratie van de verdeelde diensten over het onafhankelijk en "open" netwerk van Wireless Leiden dat zich letterlijk buiten de deur huisvest.
-Het exploiteren op stadsniveau van eduroam toegang via het Wireless Leiden netwerk was niet alleen een uitdaging, maar is nu ook nog eens eenvoudig, flexibel en betaalbaar! De huidige implementatie is een win-win situatie voor betrokken partijen, door de huidige multi SSID techniek neemt zowel de dekking van het eduroam netwerk van een (sponserende) onderwijs-instelling als het netwerk van Wireless Leiden toe. Dit in tegenstelling tot de vaak beperkt inpandige en eenzijdige exploitatie door onderwijsinstellingen van hun eigen geisoleerde fysieke en gesloten infrastructuur, die zich gemakkelijk door het graven/leggen van dure kabelverbindingen laat uitstellen of zelfs afstellen.
-
-TODO korte geschiedenis nog toevoegen!
-
-*Ontwikkelaars van Wireless Leiden zelf kunnen de roaming eigenschap van deze infrastuctuur alleen gebruiken, testen en ontwikkelen wanneer ze beschikken over een geldig accountsnaam en wachtwoord dat geleverd is door een aan eduroam/surf foundation gelieerde identity provider. Als voorbeeld Universiteit Leiden of Hogeschool Leiden. Wel zou er voor hen via een interne identity provider van Wireless Leiden zelf een account gemaakt kunnen worden, maar omdat deze niet centraal gekoppeld is werkt dit niet wanneer ontwikkelaars van het Wireless Leiden eduroam netwerk naar het Universiteits eduroam overgaan. Het Universiteits eduroam netwerk kan namelijk via de centrale server niet bij de onbekende Wireless Leiden interne identity provider komen en zal deze mensen niet op zijn netwerk toelaten. Hiermee word direct duidelijk dat een wederzijdse samenwerking nodig is om het onbegrensde karakter eduroam(ing) te laten werken en beschermen! Een andere mogelijkheid zou het aanvragen van een test-account bij de surf foundation zijn. 
+Het unieke aan dit project is niet het scheiden van de identity/service provider eigenschap, maar de integratie van de fysiek verdeelde en gescheiden diensten over het onafhankelijk en "open" netwerk van Wireless Leiden dat zich letterlijk buiten de deur huisvest.
+Het exploiteren op stadsniveau van eduroam toegang via het Wireless Leiden netwerk was niet alleen een uitdaging, maar is nu ook nog eens eenvoudig, flexibel en betaalbaar! De huidige implementatie is een win-win situatie voor betrokken partijen, door de huidige multi SSID techniek neemt zowel de dekking van het eduroam netwerk van een (sponserende) onderwijs-instelling als dekking van het netwerk van Wireless Leiden toe. Dit in tegenstelling tot de vaak beperkt inpandige en eenzijdige exploitatie door onderwijsinstellingen van hun eigen geisoleerde fysieke en gesloten infrastructuur, die zich gemakkelijk door het graven/leggen van dure kabelverbindingen laat uitstellen of zelfs afstellen.
+
+De knowhow is de afgelopen paar jaar in samenwerking met Hogeschool Leiden uit diverse projecten tot stand gekomen waaronder: 
+ - het [http://svn.wirelessleiden.nl/svn/projects/802.1x/afstudeerproject_2008/afstudeerverslag.pdf afstudeerverslag] van Richard van Manson,
+ - het C.U.G.A.R project van H.L. studenten (ondersteund door [http://nlnet.nl/project/cugar Stichting NLnet] met externe begeleiders),
+ - het parallel ontwikkelde prototype door Richard van Manson als vrijwilliger bij Wireless Leiden (uitgangspunt voor huidige opzet), 
+Met tenslotte een succesvolle testcase van het prototype met dank aan [http://www.surfnet.nl Surfnet] dat heeft geresulteerd in de "bijna" alles omvattende en sluitende handleiding (die u nu leest) voor het op grote schaal implementeren en uitrollen van de eduroam infrastructuur op het Wireless Leiden netwerk door Walter Sonius.
+
+*Ontwikkelaars van Wireless Leiden zelf kunnen de roaming eigenschap van deze infrastuctuur alleen gebruiken, testen en ontwikkelen wanneer ze beschikken over een geldig eduroam accounts -naam en -wachtwoord. Dit dient geleverd te zijn door een aan eduroam/surf foundation gelieerde identity provider. Als voorbeeld beschikken studenten/scholieren en mederwerkers van Universiteit Leiden of Hogeschool Leiden hierover. Het aanvragen van een eduroam test-account voor een ontwikkelaar van wireless-leiden bij de Surffoundation behoort tot de mogelijkheden.
 
 == technische en organisatorische benodigdheden ==
@@ -829 +833 @@
 {{{
 ## Allows forwarding
-cat /proc/sys/net/ipv4/ip_forward
+cat /proc/sys/net/ipv4/ip_forward #shows current off state
 echo "1" > /proc/sys/net/ipv4/ip_forward
+cat /proc/sys/net/ipv4/ip_forward #shows current on state ?
 
 ## add the following firewall masquerade code "quick and dirty" at the end of the file before exit0!
@@ -865 +870 @@
 
 ==== 3.1 setup certnode ====
-Op een ubuntu 12.04LTS installatie of livecd moet je het easy-rsa pakket dat met "openvpn" komt installeren. Opmerking, houd er rekening mee dat wanneer dit op een livecd gedraait word natuurlijk het permanente karakter verloren gaat! De inhoud van de /etc/openvpn map moet dan natuurlijk bewaard worden anders zal er per livecd sessie, opnieuw server certificaten gegenereerd moeten worden waardoor de afgeleide client certificaten en key's met de server certifcaten uit eerdere/oudere livecd sessie natuurlijk incompatible zijn! TODO Wellicht komt er een aanpassing van dit script zodat die direct voor verschillende users op sunfire zelf functioneert!
+Op een ubuntu 12.04LTS installatie of livecd moet je het easy-rsa pakket dat met "openvpn" komt installeren. Opmerking, houd er rekening mee dat wanneer dit op een livecd gedraait word natuurlijk het permanente karakter verloren gaat! De inhoud van de /etc/openvpn map moet dan natuurlijk bewaard worden anders zal er per livecd sessie, opnieuw server certificaten gegenereerd moeten worden waardoor de afgeleide client certificaten en key's met de server certifcaten uit eerdere/oudere livecd sessie natuurlijk incompatible zijn!
 
 Setup openvpn easy-rsa certnode
@@ -906 +911 @@
 cd keys
 openvpn --genkey --secret ta.key #tls key goed genoeg???
-sudo cp eduradprox.crt eduradprox.key ca.crt dh1024.pem ta.key ../../ #kopieer ze natuurlijk naar de radius-server/proxy die instap 2 gemaakt is!
+sudo cp eduradprox.crt eduradprox.key ca.crt dh1024.pem ta.key ../../ #! copy these to the "radius-server/proxy & gatewat" made in step 2.1b <---
 
 ## setup script for easy client certificate/key genereting individuel AP's
@@ -912 +917 @@
 }}}
 
-#example code# /usr/local/bin/eduroam-ap-openvpn-client
+#example code# /usr/local/bin/eduroam-ap-openvpn-client-cert
 {{{
 #!/bin/sh
@@ -961 +966 @@
 {{{
 ## flag executable
-sudo chmod +x /usr/local/bin/eduroam-ap-openvpn-client
+sudo chmod +x /usr/local/bin/eduroam-ap-openvpn-client-cert
 
 ## fix /etc/openvpn/easy-rsa-/keys/packages permissions?
+#sudo chmod -R 755 /etc/openvpn/easy-rsa-/keys/packages #!????
 
 ## setup openvpn client config see example
@@ -988 +994 @@
 }}}
 
+The permanent and single setup instance for the openvpn "certnode" is done! For creating subsequent client keys/certificates see 3.2/3.3.
+ 
 ==== 3.2 certnode client ====
-The permanent and single setup instance for the openvpn "certnode" is done! When adding new/extra "eduroam" AP's to the network, generate a *.tar with unique set of keys/config for each AP with the following command, it ends up in the ~/ user home folder!
+When adding new/extra "eduroam" AP's to the network, generate a *.tar with unique set of keys/config for each AP running the following command on the certnode. The resulting tar file will end up in the ~/ user home folder.
 {{{
 ## replace $unique-ap-name with the name of your AP
-sudo /usr/local/bin/eduroam-client-openvpn-cert $unique-ap-name
+sudo /usr/local/bin/eduroam-ap-openvpn-client-cert $unique-ap-name
 }}}
 
 ==== 3.3 certnode client@sunfire ====
-Wireless Leiden leden die toegang hebben tot certnode "sunfire" kunnen daar inloggen en met sudo rechten het commando "eduroam-ap-openvpn-client" uitvoeren. Dat zal in een ~/. home folder een *.tar bestand genereren dat certificaten/keys/config voor het op te zetten AP bevat.
-{{{
-sudo /usr/local/bin/eduroam-ap-openvpn-client $unique-ap-name
+Wireless Leiden leden die toegang hebben tot certnode "sunfire" kunnen daar inloggen en met sudo rechten het commando "eduroam-ap-openvpn-client" uitvoeren. Dat zal in hun ~/. home folder een *.tar bestand genereren dat certificaten/keys/config voor het op te zetten AP bevat.
+{{{
+sudo /usr/local/bin/eduroam-ap-openvpn-client-cert $unique-ap-name
 }}}
 
@@ -1006 +1014 @@
 De afgelopen jaren is een technische oplossing ontwikkeld, in samenwerking met de Hogeschool Leiden, om Eduroam mogelijk te maken over een open netwerk zoals dat van Wireless Leiden.
 
- - het afstudeerverslag van Richard (technisch is er een andere oplossing ontwikkeld, maar de algemene aanpak wordt hierin beschreven): http://svn.Wireless Leiden.nl/svn/projects/802.1x/afstudeerproject_2008/afstudeerverslag.pdf
+ - het afstudeerverslag van Richard (technisch is er een andere oplossing ontwikkeld, maar de algemene aanpak wordt hierin beschreven): http://svn.wirelessleiden.nl/svn/projects/802.1x/afstudeerproject_2008/afstudeerverslag.pdf
  - na het afstudeerverslag van Richard zijn enkele studenten bezig geweest een technische oplossing te ontwikkelen, onder andere met steun van Stichting NLnet: http://www.cugar.org, http://nlnet.nl/project/cugar/ en externe begeleiders
  - parallel is een wat andere oplossing ontwikkeld door Richard, als vrijwilliger van Wireless Leiden op basis van [http://www.ubiquiti.com Ubiquiti] hardware (bullet2HP).
@@ -1017 +1025 @@
  - bouw een keer de OpenWRT-image
  - upload de image naar de Bullet2HP
- - upload individuele vpn info naar de bullet (dus niet openwrt opnieuw bouwen)
+ - aanmaken individuele vpn info 
+ - upload deze info naar bullet (dus niet openwrt opnieuw bouwen)
 
 === B.1 Opzetten van een host machine voor OpenWRT-images ===
@@ -1046 +1055 @@
 }}}
 
+=== B.2 upload custom OpenWRT-images naar bullet ===
 Volgende stappen nog niet getest
  6. A. If you have a fresh new Air OS install you can upload the following image to
@@ -1078 +1088 @@
  7. Default password: Edur0@m
 
+=== B.4 upload individuele openvpn info naar iedere bullet ===
  8. Creating unique vpn info:
 
@@ -1111 +1122 @@
       5. in you home directory "on cert node sunfire itself" there will be a file called <name>.tar, copy this file 
          to a network reachable the bullet locally
+
+=== B.3 aanmaken individuele vpn info voor iedere bullet ===
       6. untar it: 
 {{{
@@ -1140 +1153 @@
 De Authenticatieserver is een Radiusserver. De gebruikersaccounts van een Eduroam-instelling zijn niet beschikbaar bij andere instellingen (dus ook niet bij Wireless Leiden). Om 802.1x/Eduroam op het Wireless Leiden netwerk te laten werken zijn geen gebruikersaccounts nodig, de authenticatieverzoeken kunnen doorgezet worden naar de Surfnet-Radiusserver (proxy). De Surfnet-Radiusserver stuurt het verzoek op zijn beurt door naar de Radiusserver van de deelnemende instelling waaraan de gebruiker verbonden is. De Radiusserver van deze deelnemende instelling bevat de gebruikersaccounts. De Accept of de Reject op het authenticatieverzoek wordt via het zelfde pad teruggestuurd, waarna de node toegang verschaft (of niet).
 
-Op basis van het afstudeerwerk van Richard is [http://http://freeradius.org/ Freeradius] voor de Radiusserver. Deze open-sourcesoftware voldoet aan de eisen en Freeradius is ook wat betreft beschikbare opties de meest aantrekkelijke open-source Radiusserver.
-
 Uitgangspunt: (embedded) pc met Freebsd 8.3(i386), minimal install
 
@@ -1177 +1188 @@
 {{{
 mkdir /usr/local/etc/openvpn #folder niet aanwezig
-/usr/local/bin/svn co http://svn.Wireless Leiden.nl/svn/code/eduroam-bullet/trunk/openvpn-wl/ 
-/usr/local/etc/openvpn
-}}}
-
-vervang /usr/local/etc/raddb
+/usr/local/bin/svn co http://svn.Wireless Leiden.nl/svn/code/eduroam-bullet/trunk/openvpn-wl/ /usr/local/etc/openvpn
+}}}
+
+checkout freeradius
 {{{
 rm -R /usr/local/etc/raddb
@@ -1188 +1198 @@
 }}}
 
-###edit only three files under /usr/local/etc/freeradius: users, eap.conf, and clients.conf
-
-{{{
-svn checkout http://svn.Wireless Leiden.nl/svn/code/eduroam-bullet/trunk/files/ /usr/local/etc/ --depth empty
+setup final config files and scripts
+{{{
+/usr/local/bin/svn checkout http://svn.Wireless Leiden.nl/svn/code/eduroam-bullet/trunk/files/ /usr/local/etc/ --depth empty
 cd /usr/local/etc/
 svn up dhcpd.conf
 }}}
 
-B. Toevoegingen aan het configuratiebestand /etc/rc.conf
-
+#add to# /etc/rc.conf
 {{{
 # enable: Freeradius
@@ -1241 +1249 @@
 de handleiding van de "certnode" creeert natuurlijk een openvpn server op de certnode zelf, nog testen of je openvpn kan verwijderen en de easy-rsa bestande ergens anders kan plaatsten?
 
-sunfire FIXEN?
 Kan inloggen via public ssh key op sunny/sunfire.wleiden.net kan daarinderdaad het script starten maar vervolgens kan deze niks vinden. Lijkt erop dat de oude server certificaten niet aanwezig zijn en er kunnen dan geen afgeleide client certifcaten gemaakt worden tevens missen er config bestanden, dus alles moet opnieuw? Hoe maak ik dit lokaal na?
 Namaken: https://help.ubuntu.com/community/OpenVPN