Hvordan knytte opp din institusjon til det norske eduroam hierarkiet

Å knytte opp din institusjon til eduroam betyr å gi dine brukere en sikker adgang til alle andre institusjoner som støtter eduroam både innenlands og utenlands. Å ha eduroam på plass betyr også at du har en 802.1X løsning på plass lokalt og dette kan benyttes til å gi en løsning for sikker trådløs tilknytning for dine brukere og til å beskytte ditt kablede nettverk fra uautoriserte maskiner. 802.1X er en viktig komponent i Wi-Fi Protected Access (WPA) som er promotert og sertifiseres av Wi-Fi Alliance. Den er støttet i en raskt økende mengde produkter og klienter og det er et viktig steg mot å gjøre trådløse nettverk sikre.

Ved å utnytte de mulighetene som RADIUS, basestasjoner og switcher gir, kan man dynamisk sette brukeren på et bestemt VLAN. Ved å bruke den samme innloggingsprofilen (eduroam) kan en bruker bli plassert i administrasjon-, ansatte-, student- eller gjenstenettverk i tråd med gjeldende privillegier.

Selv om eduroam er et RADIUS hierarki så er det enkelt å integrere det med FEIDE ved en senere anledning. De eneste endringene man trenger å gjøre er å få RADIUS til å slå opp i en FEIDE database.

Før din institutsjon kan knytte seg opp til eduroam hierarkiet så er det noen komponenter som må være på plass.

• En brukerdatabase som kan aksesseres av deres RADIUS server. Sjekk for støtte i deres RADIUS server. Dersom du har SAMSON3 så er brukerdatabasen mest sannsynlig en LDAP database
• En RADIUS server som støtter oppslag i din database. Dersom du har SAMSON3 så har den allerede en egnet FreeRADIUS server ferdig installert
• Sertifikater generert for din Certificate Authority (CA) og RADIUS server.
• Valgfritt: En full PKI struktur med sertifikater for alle brukere.
• For trådløse nettverk: Basestasjoner som støtter 802.1X autentisering og minst TKIP kryptering.
• Valgfritt for trådløse nettverk: Basestasjoner som støtter 802.1Q (VLAN) og multiple SSIDer
• Helst et eget IP subnett for eduroam-brukere

Mest sannsynlig kan deres eksisterende brukerdatabase kobles opp mot en RADIUS server. På SAMSON3 er alt integrert og vi kan tilby en komplett konfigurasjon som er skreddersydd for disse enhetene, inkludert generering av de nødvendige sertifikatene til CA og RADIUS.

Konfigurasjon består i all hovedsak av:

• Koble opp RADIUS serveren mot brukerdatabasen
• Koble opp alle basestasjonene mot RADIUS serveren
• Konfigurere RADIUS serveren til å akseptere 802.1X autentisering (sertifikater, EAP-typer, osv)
• Konfigurere en eduroam profil på basestasjonen med 802.1X autentisering og tilstrekkelig kryptering.
• Koble opp din lokale RADIUS server(e) til den norske topp-nivå RADIUS serveren.

I tillegg vil det sikkert bli en del konfigurasjon av rutere for å definere et dedikert IP subnett for eduroam og aksessfilter for å gi aksess etter rettingslinjene gitt i deres institusjons sikkerhetspolitikk.

Kontakt oss på eduroam@uninett.no for detaljer og hjelp til å få deres institusjon koblet til eduroam.