Aktualności
2010-05-17
Eduroam
Akademicki Internet w wersji mobilnej.
Od początku roku 2009 usługa eduroam w sieci PIONIER przeszła z fazy testów do fazy pilotowej. W niniejszym artykule opiszemy korzyści płynące z korzystania z tej usługi ipostaramy się zachęcić do budowania własnych sieci bezprzewodowych zgodnych ze standardami eduroam.

Należy rozpocząć od tego, że eduroam to nie tylko nazwa usługi, ale przede wszystkim idea, że jednocząc wysiłki można, niewielkim kosztem, osiągnąć duży efekt końcowy w postaci powszechnego dostępu do szerokopasmowego Internetu. Dzięki eduroam, instytucje akademickie, naukowe i im podobne, otrzymują mechanizm pozwalający na udostępnienie swojej sieci gościom z innych instytucji, jednocześnie umożliwiając swoim pracownikom i studentom dostęp do sieci we wszystkich lokalizacjach eduroam na świecie. Aby się przekonać, jak popularna stała się ta usługa, wystarczy wejść na stronę www.eduroam.org, a stamtąd na strony eduroam poszczególnych sieci krajowych. Coraz częściej, odwiedzając instytucje akademickie lub biorąc udział w konferencjach, możemy zauważyć obecność sieci bezprzewodowej o nazwie eduroam – to znak, że w tym miejscu moglibyśmy bez problemu i bez kosztów skorzystać z sieci, o ile tylko nasza instytucja jest członkiem zbiorowości eduroam.

Usługa eduroam powstała z inicjatywy krajowych sieci akademickich skupionych w organizacji TERENA i zatacza coraz szersze kręgi. Rozwój eduroam ilustrują liczby instytucji, gdzie jest dostępny – przykładowo:  Hiszpania – 57; Wielka Brytania – 98; Niemcy – 93; Czechy – 27; Australia – 20; Japonia – 9; Taiwan – 137; Polska – 17. W kilkunastu polskich instytucjach prace nad eduroam są mocno zaawansowane, więc niedługo można oczekiwać znacznego zwiększenia liczby dostępnych sieci eduroam w kraju.

Jak to działa?
Sieci bezprzewodowe eduroam korzystają z zaawansowanych mechanizmów bezpieczeństwa opartych o standard 802.1x, tzw. WPA/WPA2-Enterprise. Użytkownik zostaje podłączony do sieci po uwierzytelnieniu, np. po przesłaniu identyfikatora i hasła. Radiowe urządzenie dostępowe (AP) sygnalizuje potencjalnym klientom, że oczekuje uwierzy- telnienia. Klienckie oprogramowanie 802.1x, zainstalowane na komputerze użytkownika, za pośrednictwem AP, nawiązuje dialog z uwierzytelniającym serwerem RADIUS. Jeżeli dane uwierzy- telniające użytkownika zostaną przez serwer zaakceptowane, to przesyła on do AP zgodę na otwarcie dostępu do sieci. Wtym momencie komputer użytkownika może pobrać adres sieciowy i rozpocząć normalną pracę w sieci.

AP „ufa” tylko jednemu lub dwóm serwerom RADIUS, ale serwer RADIUS może przekazać zlecenie uwierzytelniające innemu serwerowi i wówczas pełni rolę przekaźnika, nie mając dostępu do danych wrażliwych, musi jednak ufać uzyskanej odpowiedzi uwierzytelniającej i przekazać ją do AP. Ten mechanizm stał się podstawą stworzenia eduroam. Każdy użytkownik przedstawia się nazwą skonstruowaną jak adres e-mail – uzytkownik@domena.kraj. Na podstawie nazwy domenowej serwer     RADIUS, do którego przekazano zlecenie, podejmuje decyzję, czy jest właściwy dla jego obsłużenia, czy powinien przekazać je dalej. W drugim przypadku zlecenie jest przekazywane do serwera regionalnego, a dalej krajowego, który albo przesyła je do właściwej instytucji wkraju, albo do centralnego serwera eduroam. Serwer centralny kieruje zlecenie do odpowiedniego serwera krajowego, a ten do odpowiedniej instytucji. Zlecenia uwierzytelniające trafiają w ten sposób do macierzystego serwera uwierzytelniającego danego użytkownika. Serwer RADIUS w instytucji udostęp- niającej może przydzielić użytkownika do odpowiedniej sieci wirtualnej. Dzięki temu goście mogą być odseparowani od użytkowników lokalnych, a również na poziomie lokalnym można oddzielać np. studentów od pracowników.

Zastosowanie 802.1x wymaga urządzeń, które ten standard wspierają, ale obecnie dotyczy to już zdecydowanej większości sprzedawanego sprzętu.

Organizacja eduroam w Polsce
Krajowym Operatorem usługi eduroam jest Operator sieci PIONIER – Poznańskie Centrum Superkomputerowo- Sieciowe. W jego imieniu działa krajowy Koordynator eduroam, którym jest Uniwersyteckie Centrum Informatyczne Uniwersytetu Mikołaja Kopernika w Toru- niu. Na terenie każdej z sieci miejskich skupionych w Konsorcjum PIONIER, usługę eduroam udostępnia operator tej sieci i to do niego należy się zwracać wsprawie uruchomienia usługi. Usługa eduroam jest świadczona w ramach opłat za korzystanie z sieci miejskich.

Wszystkie niezbędne informacje można znaleźć na stronach www.eduroam.pl. Administratorzy winstytucjach korzystających z eduroam mają dostęp do portalu zawierającego materiały techniczne oraz listy mailowej administratorów eduroam.

Warunki przystąpienia
Uprawnionymi do korzystania z eduroam są instytucje - abonenci miejskich sieci komputerowych - członków konsorcjum PIONIER będące: uczelnią wyższą, instytutem badawczym, jednostką B+R, biblioteką publiczną.

Jeżeli instytucja decyduje się na korzystanie z eduroam, to musi przyjąć zasadę, że na swoim terenie będzie do sieci bezprzewodowej dopuszczała gości związanych z innymi instytucjami biorącymi udział w eduroam. W zamian, studenci ipracownicy tej instytucji będą mogli korzystać z sieci we wszystkich innych instytucjach partycypujących w eduroam. Instytucja powinna również przyjąć nazwę eduroam jako nazwę swojej sieci bezprzewodowej, ewentualnie wspierać tę nazwą jako dodatkową. Kolejnym wymogiem jest uruchomienie strony informacyjnej dla gości, a także zapewnienie wsparcia technicznego dla własnych użytkowników. Nie oczekuje się, aby instytucja udzielała jakiegokolwiek indy- widualnego wsparcia technicznego gościom.

Dokładne warunki formalne i techniczne są opisane w Regulaminie – Polskiej polityce eduroam dostępnej ze strony www.eduroam.pl.

Instytucja musi przechowywać informacje o dokonanych uwierzytelnieniach. W razie stwierdzenia że osoba uwierzytelniona przez instytucję dopuściła się wykroczenia w czasie korzystania z gościn- nego dostępu do sieci, informacje te umożliwiają wskazać uprawnionym organom ścigania osobę, której dotyczyło dane uwierzytelnienie. Dane związane z uwierzytelnieniem należy uważać za dane osobowe i w związku z tym muszą podlegać odpowiedniej ochronie i przekazywane wyłącznie instytucjom uprawnionym.

Wprzypadku odwrotnym, gdy do sieci instytucji dostęp uzyska gość korzystający z mechanizmów eduroam idopuści się wykroczenia, to instytucja udostępniająca sieć, korzystając z umowy z właściwym operatorem eduroam,  może przesunąć odpowiedzialność za ujawnienie danych gościa na jego instytucję macierzystą. W mniej poważnych przypadkach, kiedy użytkownik dopuszcza się działań niezgodnych z regulaminem sieci z której korzysta, administrator tej sieci ma prawo zablokować dostęp wszystkim gościom przedstawiającym się daną nazwą domenową i przekazać sprawę do wyjaśnienia koordynatorowi krajowemu.

Z perspektywy użytkownika

Standard WPA jest wspierany we wszystkich nowoczesnych urządzeniach bezprzewodowych (laptopach, palmtopach, bardziej zaawansowanych telefonach komórkowych itp.). W większości przypadków, nie ma problemów z podłączeniem ich do sieci eduroam, chociaż doświadczenie pokazuje, że część użytkowników potrzebuje pomocy. Łatwość instalacji zależy od tego, jak dobrze przygotowano dokumentację oraz automatyczne instalatory. Raz skonfigurowane urządzenie działa automatycznie, użytkownik nie musi podejmować żadnej akcji poza wybraniem sieci eduroam.

Tomasz Wolniewicz, TORMAN
Zbyszek Ołtuszyk, PCSS