English | Serbian

9 koraka za  implementaciju eduroam servisa

1. Realizujte bazu korisničkih imena i lozinki za svoje korisnike (IdP)

Da bi institucija svojim korisnicima omogućila da pristupe eduroam servisu, neophodno je da im obezbedi korisničko ime i lozinku. Identiteti korisnika mogu se čuvati u bilo kojoj bazi (Aktivni direktorijum, LDAP, SQL i sl.)
Što se tiče kvaliteta podataka i procedura dodeljivanja, održavanja i ukidanja identiteta, minimalni uslovi moraju biti ispunjeni. Osim korisničkog imena i lozinke, u digitalnom identitetu osobe mora se nalaziti dovoljno podataka da se može identifikovati prava osoba koja koristi određeno korisničko ime. Takođe, identiteti se mogu dodeliti samo osobama koje su u datom trenutku u vezi sa matičnom institucijom (student, zaposeni, gost ..) i moraju biti isključivo lični.
Za one institucije koje još nisu realizovale bazu digitalnih identiteta svojih korisnika, AMRES je obezbedio aplikaciju i sva potrebna upustva. Za aplikaciju se prijavite na helpdesk@amres.ac.rs

2. Implementirajte RADIUS autentifikaciju (IdP i RP)

Za kontrolu pristupa u eduroam servisu koristi se RADIUS autentifikacioni standard. U tom cilju neophodno je instalirati RADIUS server, a popularne platforme su:

  • FreeRADIUS (ovde možete naći uputstvo)
  • Radiator
  • Microsoft IAS

3. Odaberite autentifikacioni mehanizam koji ćete koristiti (IdP)

Ukoliko je vaša institucija davalac identiteta, pre svega potrebno je da odaberete tip EAP autentifikacije koji ćete implementirati na RADIUS serveru. Bez obzira gde se nalazio, korisnikov uređaj “zatvara” autentifikacioni tunel sa RADIUS severom svoje matične institucije i koristi EAP tip koji implementira njegova matična institucija.
Dva tipa EAP autentifikacije koji se primarno koriste su EAP-PEAP i EAP-TTLS. Izbor tipa EAP autentifikacionog mehanizma može biti ograničen time u kom formatu se čuva korisnička lozinka. Ako vaš RADIUS server podržava simultanu implementaciju više EAP autentifikacionih tipova, možete implemetirati oba. U tabeli ispod date su uporedne karakteristika ova EAP tipa.

tip EAP autentifikacije Metod autentifikacije unutar tunela Komentar
PEAP MSCHAPv2 MSCHAPv2 može jedino biti implementiran ako se lozinke korisnika u bazi nalaze u NT hash ili u clear-text formi. Prednost PEAP-a je u tome što je inicijalno podržan na Microsof Windows platformama bez instalacije dodatnog softvera.

TTLS PAP, CHAP, MSCHAPv2 Inicijalna podrška na MacOS i Linux sistemima. MS Windows korisnici moraju instalirati dodatni program da bi se povezali na eduroam.

AMRES je obezbedio uputstva za podešavanje korisničkih uređaja za EAP-TTLS
Napomena: Neki stariji modeli Nokia telefona podržavaju samo EAP-GTC autentifikacioni mehanizam. Kako bi korisnicima omogućili da eduroam servisu pristupe i svojim mobilnim Nokia telefonima, preporuka je da se dodatno implementira i EAP-GTC.

4. Implementacija digitalnog sertifikata na RADIUS server (IdP)

Svrha digitalnih sertifikata RADIUS servera je da korisnicima omogući proveru autentičnosti RADIUS servera matične institucije kome prosleđuju svoje kredencijale pri pristupu eduroam servisu. Ako se provera digitalnih sertifikata ne koristi, postoji mogućnost da se korisnik poveže na lažan zlonameran eduroam hotspot odnosno RADIUS server. Pri tome korisnikovi kredencijali mogu biti ukradeni ili se može vršiti uvid i/ili Man in the middle napad nad podacima koji korisnik šalje preko lažnog eduroam hotspota.
AMRES je obezbedio besplatne TCS (TERENA Certificate Service) serverske sertifikate, koje možete instalirati na vaš RADIUS server. Sva uputstva za dobijanje i instalaciju sertifikata možete videti klikom na link. Za Windows klijente AMRES tim je napravio instalacionu veziju SecureW2 programa (za EAP-TTLS-PAP autentifikaciju) sa uključenom proverom digitalnog sertifikata servera i uvezenim TERENA CA. Ukoliko koristite TERENA sertifikat i korisnici instaliraju ovu verziju SecureW2 programa, provera digitalnog sertifikata servera je za korisnike potpuno transparentna.

5. Obezbedite infrastrukturu za pristup eduroam servisu (RP)

Infrastruktura za pristup eduroam servisu može biti:

  • Žičana – svič koji podržava 802.1x standard
  • Bežična – bežične tačke pristupa (Wireless Access Point) – minimalno mora ispuniti 802.11g standard ili bolji (802.11a ili 802.11n). Enkripcija minimalno mora biti WPA (WPA/TKIP ili WPA/AES) a preporučuje se WPA2 (WPA2/AES ili WPA2/TKIP).

6. Adresiranje (RP)

Na uređajima za pristup eduroam servisu, potrebno je konfigurisati dinamičku dodelu IP adresa korisnicima, korišćenjem DHCP protokola. Pri tome dodeljene adrese mogu biti privatne ili javne. U slučaju da se dodeljuju privatne adrese, potrebno je da davalac resursa čuva i odgovarajuće NAT logove na osnovu kojih se može utvrditi mapiranja javne i privatne adrese koje je korisnik koristio u određenom vremenskom trenutku. Zbog izbegavanja čuvanja NAT logova koji mogu biti jako glomazni, preporučujemo upotrebu javnih IP adresa.

7. Održavanje log podataka (RP i IdP)

Obzirom da kada korisnik vaše institucije ide u posetu drugoj, ili korisnik druge dolazi u posetu vašoj instituciji može napraviti sigurnostni incident, jako je važno održavanje odgovarajućih logova. Na osnovu ovih logova može se utvrditi koji korisnik je odgovoran za eventualni prouzrokovani incident.
Za davaoca resursa su ovi zahtevi nešto stroži, ali oni su postavljeni u cilju zaštite integriteta institucije u slučaju kada korisnik koji je u poseti napravi sigurnosni incident. Više informacije o održavanju logova pogledajte u prezentaciji “Podrška korisnicima i eskalacija problema“ na strani sa uputstvima.

8. Politika eduroam saobraćaja (RP)

Minimalan set servisa koje je potrebno dozvoliti eduroam korisnicima je definisan u AMRES eduroam pravilniku.
Obzirom da je u AMRESu za web saobraćaj obavezno korišćenje proksi servera, ova restirkcija postavlja se i na saobraćaj koji se šalje putem eduroam pristupne infrastrukture.
Po pravilima eduroam servisa, može se koristiti transparentni ili ne-transparentni proksi server. Ako se koristi transparetni proksi server, korisnici ne moraju vršiti dodatna podešavanja i ovaj način se preporučuje. Ukoliko se odlučite za ne-transparentni proksi, u obavezi ste da napišete i uputstva za podešavanje korisničkih uređaja.
Za ostvarivanje ovog zahteva možete odabrati jednu od dve opcije:

  • Možete koristiti vaš proksi server
  • AMRES je obezbedio transparentni proksi server koji možete koristiti. Sve što je potrebno da uradite je da nam prijavite opseg IP adresa koje koristite za eduroam servis, a o svemu ostalom brinemo mi

9. eduroam CAT

eduroam CAT (Configuration Assistant Tool) vam omogućava da kreirate eduroam instalere za različite klijentske platforme. Ovi eduroam instaleri se konfigurišu prema specifičnim podacima i eduroam podešvanjima na instituciji, tako da se mogu podesiti ime i logo institucije, helpdesk kontakt i što je najvažnije RADIUS podešvanja poput sertifikata servera, načina autentifikacije itd. Instaleri za eduroam kreirani preko CAT alata u sebi sadrže sva potrebna podešavanja uključujući i sertifikate RADIUS servera institucije tako da se postiže maksimalna sigurnost i zašita korisnikovih kredencijala. AMRES je spremio uputstvo koje administratorima olakšava konfigurisanje profila za instituciju. Uputstvo možete pogledati ovde.