 | ||
Procedury
|
||
Narzędzia
|
||
Technologie
|
||
eduroam w Polsce
|
||
eduroam na świecie
|
OpenRoaming™ w konsorcjum eduroam
Co to jest?
OpenRoaming™ jest technologią stworzoną przez Wireless Broadband Allience i bazującą na zasadach bardzo zbliżonych do eduroam (a być może nawet powstałą dzięki sukcesowi eduroam). WBA jako konsorcjum skupiające m.in producentów sprzętu mogło jednak tworzyć i implementować nowe standardy (głównie Hotspot 2.0). Dzięki temu OpenRoaming™ może działać trochę inaczej i skupiać sieci o różnych zasadach dostępności. eduroam jest reprezentowany w WBA i nasze doświadczenia miały wpływ na ostateczny kształt tego projketu. Również dzięki temu mamy szansę na korzystanie z tych nowych możliwości bez konieczności tworzenia nowej infrastruktury.
Z naszego punktu widzenia, jako środowiska naukowego, OpenRoaming™ może być interesujący z dwóch powodów:
- możliwość poszerzenia dostępu do sieci dla naszych użutkowników;
- możliwość udostępnienia naszych sieci szerszemu gronu odbiorców.
Od razu trzeba podkreślić, że decyzja o korzystaniu z OpenRoaming™, w jednym lub obu warianach, jest całkowicie w gestii instytucji końcowej. eduroam jedynie strwarza nowe możliwości, ale nie podejmuje za nikogo żadnych decyzji.
Jak to działa?
Standard Hotspot 2.0 wprowadził możliwość rozgłaszania dodatkowych informacji przez sieci bezprzewodowe. Na potrzeby OpenRoaming™ stosuje się rozgłaszanie identyfikatorów Roaming Consortium Organization Identifier (RCOI). RCOI służy do informowania z jakim konsorcjum mamy do czynienia, ale również o tym jaką politykę dostępu stosuje dany hotspot.
Aby korzystać z OpenRoaming™ urządzenie użytkownika musi wspierać standard Hotspot 2.0, a ponadto musi być wstępnie skonfigurowane, aby reagować na konkretne identyfiatory RCOI. Jeżeli urządzenie "widzi" hotspot publikujący znany mu RCOI, to podejmuje próbę uwierzytelnienia użytkownika przy pomocy skonfigurowanych wcześniej paramerów - użytkownik i hasło (lub certyfikat). Uwierzytelnienie i połączenie są realizowane w oparciu o WPA-Enterprise, czyli tak jak w eduroam.
Pojawia się pytanie skąd dany hotspot ma wiedzieć dokąd skierować uwierzytelnienie użytkownika o identyfikatorze np. "@umk.pl" (pamiętajmy o anonimowości użytkownika). W eduroam takie zapytanie może iść przez hierarchię serwerów eduroam i w końcu trafi do serwera macierzystego. W OpenRoaming™ nie przewidziano budowy takich ścieżek, zamiest tego stosuje się wyszukiwanie serwera odpowiadającego danemu realmowi wskazanego przez rekord NAPTR w DNS.
Serwer, który zostanie wyszukany w DNS musi przedstawić się odpowiednim certyfikatem, uznawanym przez konsorcjum OpenRoaming™.
Poszerzenie możlwości dostępu do sieci dla naszych użytkowników
Pierwsza kwestia, to czy naszym użytkownikom jest potrzebna nasza pomoc, przecież z OpenRoaming™ można będzie korzystać z użyciem identyfikatorów Google, czy Apple. Odpowiedź nie jest oczywista, bo nie wiadomo jak sytuacja będzie się rozwijać. Zakłada się, ze będą istniały hotspoty udostępniające sieć wszystkim, ale również takie, które będą ograniczały dostęp tylko do użytkowników z sektora edukacji. Prawdopdobnie wiele hotspotów będzie też komercyjnych, bazujących na jakichś abonamentach.
Hotspoty dla edukacji powinny bezpłatnie wpuszczać użytkowników eduroam, ale tych korzystających z identyikatorów ogólnodostępnych już nie. Jednoznaczej odpowiedzi nie da się jeszcze udzielić, bo sprawa jest zbyt świeża.
Aby uruchomić dostęp dla naszych użytkowników musimy w odpowiednim rekordzie DNS wskazać właściwy serwer uwierzytelniający, a on musi dysponować właściwym certyfikatem OpenRoaming™. Zdobycie takiego certyfikatu nie jest zupełnie proste, dlatego eduroam uruchomił serwer proxy, który możemy wskazać w naszym realm, a on już przekaże zlecenie dalej za pośrednictwem standardowej struktury eduroam.
I to wszystko - tylko wpis do DNS?
Niezupełnie:
- OpenRoaming™ przewiduje, że wpisy DNS powinny być zabezpieczone przy pomocy DNSSEC; chwilowo usługodawcy zapewne nie będą tego weryfikowali, ale w przyszłości może się to okazać niezbędne; trzeba być na to przygotowanym, Konsorcjum PIONIER, musi sobie z tym poradzić;
- musimy zadbać o odpowiednią konfigurację urządzeń naszych użytkowników;
- trzeba zrozumieć konsekwencje dla prywatności naszych użytkowników i podjąć decyzję, jakie wdrożenie będzie najlepsze.
Konfiguracja urządzeń użytkowników
Tutaj z pomocą przyjdzie usługa eduroam CAT, która będzie udostępniała instalatory również z funkcją dostępu do OpenRoaming™, a dokładniej do sieci OpenRoaming™, które bez opłat przyjmują użytkowników albo wszystkich, albo przynajmniej z sektora edukacji i dodatkowo nie wymagają przekazywania dokładnych danych o użytkowniku (np. adresu e-mail, czy numeru telefonu). Decyzja, czy w ogóle dajemy naszym użytkownikom tę możliwość będzie naleźała do administratora instytucji w CAT.Prywatność użytkowników
Jeżeli użytkownik korzysta z uczelnianego identyfikatora eduroam, to informacje o jego uwierzytelniach będą trafiały do jego instytucji macierzystej - każda sieć OpenRoaming™ jest zobowiązana do wysyłania atrybutu zawierającego przynajmniej kraj lokalizacji, ale mogą też pojawić się dodatkowe informacje, jak np. rzeczywisty adres IP hotspota. W dodatku mogą to być uwierzytelnienia przypadkowe, bo akurat weszło się w zasięg sieci. Potencjalnie może to powodować, że władze instytucji macierzystej dowiadują się, że pracownik przebywa nie tam gdzie powinien. Użytkownik z uruchomianym OpenRoaming™ będzie zostawiał swój ślad w dużo większej liczbie hotspotów, jego urządzenie będzie się łączyło automatycznie, bez jego wiedzy.
Z tych powodów administratorzy instytucji, które uznają że będą wspierały OpenRoaming™, będą mogli w eduroam CAT włączyć obsługę dla OpenRoaming™ na jeden ze sposobów:
- każdemu użytkownikowi OpenRoaming™ instaluje się automatycznie bez żadnych dodatkowych pytań - w tym przypadku administrator instytucji musi jednak zadbać, aby każdy potencjalny użytkownik wiedział co to jest OpenRoaming™ i akceptował warunki korzystania z tych usług;
- każdemu użytkownikowi OpenRoaming™ instaluje się automatycznie, ale przed pobraniem instalatora użytkownik musi zaznaczyć przyjęcie do wiadomości warunków korzystania z OpenRoaming™;
- użytkownik ma dwa przyciski pobierania instalatorów - jeden dla standardowego instalatora eduroam, drugi dla instalatora eduroam+OpenRoaming™, kwestia konieczności potwierdzania przez użytkownika warunków OpenRoaming™ w momencie pobierania, jest w tej sytuacji również decyzją administratora.
Co z przypadkami, gdy dostępna jest zwykła sieć eduroam, a dodatkowo sieć OpenRoaming™?
Standard Hotspot 2.0 daje pierwszeństwo sieciom dopasowanym przez SSID, a zatem sieć o SSID eduroam będzie preferowana (jeżeli jest skonfigurowana w urządzeniu).Uruchomienie hotspota OpenRoaming™
Po pierwsze pytanie - "po co?". Z tego co słychać ze świata, są uczelnie, kótre chcą uruchomić tego typu dostęp w pewnych obiektach, np. sportowych. Uruchomienie sieci OpenRoaming™ na potrzeby konferencji też może być korzystne, bo część osób, która nie korzysta z eduroam, będzie mogła skorzystać z tej możliwości połączenia. Wydaje się, że zarówno w przypadku obiektów "imprezowych", jak i w przypadku konferencji jedyny sensowny typ hotspota, to otwarty.
Trzeba sobie jednak zdawać sprawę, że otwarty OpenRoaming™ będzie wpuszczał wszystkich, którzy uzyskają "potwierdzenie" ze strony swojego dostawcy tożsamości. Z tego powodu, dla takiego hotspota można ustawić niższe parametry transferu niż typowo stosujemy w eduroam.
Uruchomienie hotspota OpenRoaming™ wymaga posiadania sprzętu wspierającego niezbędne standardy. Ponadto każdy operator OpenRoaming™ musi dysponować odpowiednim certyfikatam - tutaj również przyjdzie z pomocą eduroam udostępniając publiczny serwer proxy, który będzie obsługiwał hotspoty instytucji włączonych w eduroam.