Aktualności
2011-02-20
PLATON: Usługi eduroam
Po co mi ten eduroam? W czasach, kiedy mobilny sprzęt komputerowy umożliwiający korzystanie z zasobów Internetu stał się dostępny dla każdego, nie wyobrażamy sobie bez niego pracy.
Pracownicy instytucji naukowych oraz studenci (szczególnie studiów doktoranckich) wymagają wygodnego i łatwego dostępu do zasobów elektronicznych, zwłaszcza poczty elektronicznej oraz informacji zgromadzonych na portalach poszczególnych jednostek wchodzących wskład macierzystej instytucji naukowej. Podczas pobytu na terenie własnej uczelni zwykle mają zapewniony nieograniczony dostęp do tych zasobów.

Sprawa komplikuje się, gdy chce się skorzystać z internetu podczas pobytu na innej uczelni np. w trakcie konferencji, stażu, czy programu wymiany studentów. Wtedy konieczne staje się szukanie pracowników wsparcia informatycznego danej uczelni w celu skonfigurowania dostępu do sieci lub  nawet wykupienie odpłatnej usługi transmisji danych oferowanej przez operatorów telefonii komórkowej. Tak sytuacja nadal wygląda niestety na wielu uczelniach.

Rozwiązaniem tego problemu jest usługa eduroam, dostępna dla wszystkich jednostek naukowych. W sytuacji gdy pracownik czy student uczelni, która uruchomiła na swoim terenie usługę eduroam, znajdzie się na terenie innej jednostki naukowej, również korzystającej z tej usługi, nie musi martwić się odostęp do internetu. Otrzymuje go wsposób automatyczny, niejako niewidoczny dla niego. Dostęp użytkownika do sieci jest realizowany przy pomocy konta dostępu do Internetu, które uzyskał on na własnej uczelni. Cała procedura dostępu do internetu na obcej uczelni sprowadza się zatem do uruchomienia komputera, czy innego terminala dostępowego i rozpoczęcia korzystania z sieci.

Każdy użytkownik usługi ma możliwość włączenia opcji zapewniającej pełną ochronę danych umożliwiających dostęp do sieci (np. nazwy konta), z drugiej strony usługa dba także o bezpieczeństwo uczelni przed łamaniem prawa przez użytkowników gościnnie korzystających z internetu na jej terenie. Eduroam daje administratorowi sieci lokalnej możliwość zidentyfikowania osoby lub też wskazania jednostki, która ją zautoryzowała w przypadku naruszenia przez nią prawa (pod warunkiem jednak, że nie stosowano NAT).

Instytucje muszą przechowywać logi ouwierzytelnieniach dokonanych na ich terenie. W przypadku gdy osoba gościnnie korzystająca z sieci dopuści się wykroczenia, mogą one posłużyć organom ścigania do identyfikacji nieuczciwego użytkownika oraz jednostki z jakiej uzyskał on uwierzy- telnienie. Wówczas jednostka macierzysta przejmuje odpowiedzialność za identyfikację nieuczciwego użytkownika.  W sytuacji gdy gość naruszy regulamin korzystania zsieci, administrator jest uprawniony do zablokowania dostępu wszystkim osobom z danej jednostki (domeny) i przekazanie sprawy do wyjaśnienia koordynatorowi krajowemu.

Zasada działania

Podstawą działania sieci eduroam jest autoryzacja użytkowników z wykorzystaniem zaawansowanych mechanizmów bezpieczeństwa opartych o standard 802.1X (WPA/WPA2-Enterprise). Użytkownik dostaje dostęp do sieci dopiero po przeprowadzeniu autoryzacji.

Najpierw punkt dostępowy sygnalizuje wszystkim urządzeniom klienckim, że oczekuje uwierzytelnienia, następnie klienckie oprogramowanie 802.1X znajdujące się na stacji dostępowej nawiązuje połączenie z serwerem autoryzacji (RADIUS). Jeżeli dane służące do uwierzytelnienia klienta zostaną zaakceptowane przez serwer RADIUS, wysyła on do punktu dostępowego zgodę na dostęp do sieci. Jeżeli serwer RADIUS nie potrafi zautoryzować użytkownika na podstawie dostarczonych przez niego danych może on przesłać prośbę o zautoryzowanie do innych serwerów RADIUS. Ten mechanizm stał się podstawą do stworzenia usługi eduroam.

Aby umożliwić serwerowi RADIUS podjęcie decyzji gdzie ma przekazać dane dotyczące uwierzytelnienia użytkownika zdecydowano się wykorzystać nazwy konta zbudowane analogicznie do adresów e-mail nazwaużytkownika@nazwadomenowajednostki.kraj. Na podstawie nazwy domenowej serwer RADIUS decyduje czy przesłać zapytanie do serwera poziomu wyżej czy też sam potrafi na nie odpowiedzieć. Serwer poziomu wyższego przekazuje to zapytanie do właściwego serwera macierzystego użytkownika.

Jak się przyłączyć?
 Co zrobić, aby na naszej uczelni była dostępna usługa eduroam? Należy skontaktować się z osobami odpowiedzialnymi za sieć lokalną oraz dyrekcją jednostki izasygnalizować im potrzebę uruchomienia tej usługi na terenie jednostki.

W Polsce pierwsze testowe uruchomienie usługi eduroam odbyło się w 2004 roku na Uniwersytecie Mikołaja Kopernika wToruniu, rok później Poznańskie Centrum Superkomputerowo-Sieciowe zaoferowało działającą usługę uczestnikom międzynarodowej konferencji TERENA wPoznaniu. Prace nad opracowaniem sieci eduroam zostały zapoczątkowane przez europejskie akademickie sieci komputerowe stowarzyszone w organizacji TERENA na początku 2003 roku. Aktualnie usługa jest dostępna w Europie, Ameryce Północnej, Australii i Azji. Aby się przekonać jak bardzo jest popularna, wystarczy ze strony głównej projektu www.eduroam.org przejść na strony poszczególnych sieci krajowych. Każda znich prowadzi wykaz jednostek, które uruchomiły usługę eduroam wraz z informacją, w których budynkach danej jednostki jest ona dostępna. Aktualnie zusługi korzystać można m.in. w: Kanadzie, USA, Australii, Chinach, Hong Kongu, Japonii, Nowej Zelandii, Papui Nowej Gwinei, Tajwanie, Turcji, Islandii, Norwegi, Finlandii, Słowenii, Chorwacji, Szwajcarii oraz krajach Unii Europejskiej.

W Polsce aktualnie podłączonych jest 35 jednostek w 32 miejscowościach. Liczba ta w niedługim czasie zwiększy się, gdy w kolejnych kilkunastu polskich jednostkach zakończą się zaawansowane prace nad wdrożeniem sieci eduroam. Aktualny wykaz polskich jednostek znajduje się na stronie www.eduroam.pl.

Krajowym operatorem usługi eduroam jest operator sieci PIONIER – Poznańskie Centrum Superkomputerowo- Sieciowe. W jego imieniu działa krajowy koordynator eduroam, którym jest Uniwersyteckie Centrum Informatyczne Uniwersytetu Mikołaja Kopernika w Toruniu. Na terenie każdej z sieci miejskich skupionych w Konsorcjum PIONIER usługę eduroam udostępnia operator tej sieci i to do niego należy się zwracać w sprawie uruchomienia usługi.
Usługa eduroam jest świadczona w ramach opłat za korzystanie z sieci miejskich. Jednostkami edukacyjnymi uprawnionymi do korzystania z usługi są abonenci miejskich sieci komputerowych członków konsorcjum PIONIER będące uczelnią wyższą, instytutem badawczym lub jednostką B-R.

Jednostka na swoim terenie musi rozgłaszać sieć bezprzewodową eduroam izapewnić gościnny dostęp do tej sieci osobom przybywającym z jednostek, które uruchomiły już tą usługę. Dodatkowo wymagane jest stworzenie i utrzymywanie strony informacyjnej dla gości, przy czym nie jest wymagane zapewnienie jakiegokolwiek indywidualnego wsparcia technicznego gościom.

Zbigniew Ołtuszyk, PCSS