hledat:

Konfigurace lokální sítě připojené k eduroam.cz

Technická zpráva CESNETu číslo 5/2005
k dispozici též ve formátech PDF, PostScript a XML.

Petr Adamec, Pavel Satrapa
31. srpna 2005

1   Úvod

Cílem projektu eduroam je podpora mobility uživatelů evropských akademických sítí a usnadnění jejich přístupu k síti během hostování u jiné instituce. V jeho rámci jsou propojeny autentizační systémy partnerských organizací tak, aby se totožnost uživatele a oprávněnost jeho požadavku na přístup k síti ověřovala vždy v jeho domovské organizaci. Při hostování pak není třeba nic konfigurovat ani povolovat - je-li uživatel zaveden ve své domovské síti, automaticky se může připojovat i kdekoli jinde.

Tato technická zpráva popisuje konfiguraci aktivních prvků bezdrátové sítě Technické univerzity v Liberci pro zapojení do české větve projektu eduroam. Zabývá se tedy především otázkami autentizace uživatelů a řešením návaznosti autentizačních mechanismů.

2   Autentizace v projektu eduroam.cz

Základní kostrou autentizace v rámci eduroam je hierarchie RADIUS serverů. Servery zapojených organizací jsou napojeny na národní server, který je pak napojen na centrální RADIUS server celého projektu. Tato skutečnost zjednodušuje konfiguraci lokálních serverů - z jejich pohledu je třeba vytvořit pouze vazbu na národní server.

Uživatel je v systému identifikován prostřednictvím jména ve tvaru uživatel@realm, kde uživatel je jeho uživatelské jméno, pod nímž je registrován ve své domácí síti, a realm identifikuje jeho domácí instituci. Při ověřování jeho oprávnění k přístupu do sítě bude proto osloven RADIUS server odpovídající za dotyčný realm (cesta k němu může vést i přes několik úrovní hierarchie), který bude požádán o ověření daného uživatele. Bude-li výsledek kladný, uživateli se zpřístupní síťová komunikace.

Pro realizaci uživatelské autentizace existuje několik technických řešení. V rámci eduroam.cz jsou podporovány tři alternativy:

802.1X

Jednoznačně preferovaná varianta. Počítači je po připojení do sítě blokován veškerý provoz, s výjimkou protokolu 802.1X. Jeho prostřednictvím proběhne autentizační výměna mezi počítačem a přístupovým bodem, jenž následně ověří zadané údaje v RADIUS hierarchii. Byla-li totožnost úspěšně ověřena, povolí stanici veškerou komunikaci. Datový provoz je následně šifrován.

VPN

Tato varianta ve skutečnosti nijak nevyužívá RADIUS hierarchii. Vychází z předpokladu, že připojené instituce provozují VPN koncentrátory, jejichž prostřednictvím si místní uživatelé mohou z libovolného místa v Internetu vytvořit VPN a jejím prostřednictvím se připojit k lokální síti. Hostujícím stanicím je povolen datový provoz pouze na VPN koncentrátory zúčastněných organizací. Uživatel se musí připojit ke svému domácímu VPN koncentrátoru, tam se autentizovat a následně využívat jeho služby. Veškerý jeho datový provoz bude procházet koncentrátorem a bude tedy směrován neefektivně.

WWW formulář

Varianta poslední záchrany, která neklade prakticky žádné požadavky na hostující stanici. Její provoz je po připojení k síti omezen pouze na pevně daný WWW server, kde se nachází autentizační formulář. Uživatelův WWW prohlížeč je na tuto stránku automaticky přesměrován. Zde uživatel zadá jméno a heslo. WWW server ověří v RADIUS hierarchii jeho totožnost a v případě kladného výsledku uvolní počítači komunikaci.

Jednotlivé alternativy jsou v bezdrátové síti poskytovány prostřednictvím samostatných (virtuálních) sítí poskytovaných tímtéž přístupovým bodem. Jsou rozlišeny svým identifikátorem (SSID). Volbou sítě se uživatel rozhodne, který z dostupných mechanismů chce použít.

Autentizační mechanismy jsou podrobněji popsány v [tr12-04].

V naší síti ve skutečnosti používáme jen dvě virtuální sítě - jednu pro autentizaci prostřednictvím 802.1X (SSID eduroam) a druhou společně pro VPN a autentizaci WWW formulářem (SSID eduroam-simple).

Dobře, lhát se nemá. Ve skutečnosti používáme ještě třetí virtuální síť (eduroam-mac), v níž autentizace probíhá čistě na základě MAC adresy klienta. Je určena pro zařízení (nejčastěji specializované jednoúčelové přístroje), která se nedovedou autentizovat žádným z výše uvedených způsobů. Počet klientů připojených do této sítě je velmi omezený, v žádném případě takto neautentizujeme běžné uživatelské počítače. Síť je podporována jen na vybraných přístupových bodech (v jejichž okolí se nachází některý z klientů) a její SSID není klientům ohlašováno. Proto se ani neobjeví v nabídce dostupných sítí. Z principu věci nemá tato síť s projektem eduroam nic společného, používáme jen jeho název jako jednotící prvek našich virtuálních sítí.

3   Konfigurace FreeRADIUS serveru

Pro vytvoření RADIUS serveru je k dispozici několik různých implementací. Asi nejlepší pověsti se těší program Radiator, který je ale komerční. Přestože na něj hodláme později přejít, pro začátek jsme se rozhodli sáhnout po volné implementaci FreeRADIUS.

Zprovoznění RADIUS serveru představuje asi nejnáročnější krok v napojování na eduroam.cz. Mimo jiné proto, že vyžaduje i některé administrativní kroky, jako je získání certifikátu od CESNET CA. Celý postup, včetně konfigurace serveru Radiator je popsán v [tr31-04]. Zde se proto zmíníme jen o konfiguraci pro FreeRADIUS, jež v uvedené technické zprávě není popsána.

Procedury související se zapojením do RADIUS hierarchie se mohou postupem času měnit. Doporučujeme konzultovat jejich aktuální podobu na serveru eduroam.cz, konkrétně v části určené správcům.

Program FreeRADIUS je poměrně kvalitní a má řadu schopností. Mezi jednoznačná negativa ale patří jeho konfigurace, která je pro nezasvěceného velmi složitá a odrazující. Je rozložena do celé řady souborů, navíc mnohdy dost rozsáhlých. Naštěstí valné většině parametrů lze ponechat výchozí hodnoty. Nebudeme zde rozebírat kompletní konfiguraci RADIUS serveru, zaměříme se jen na změny, které jsme provedli vůči výchozí konfiguraci programu. Týkají se následujících souborů:

• radiusd.conf - základní konfigurace programu, nutno nastavit především mechanismus ověřování uživatelů (v našem případě z LDAP serveru)
• proxy.conf - kde se vyřizují které dotazy, vazba na hierarchii eduroam.cz
• users - přístupová hesla pro uživatele, používá se i pro autentizaci na bázi MAC
• clients - seznam klientů oprávněných klást dotazy
• eap.conf - bezpečnostní parametry autentizace
• attrs - řídí, které atributy se mají používat a předávat
• ldap.attrmap - mapování atributů mezi LDAP a RADIUS

V následujících kapitolkách rozebereme úpravy jednotlivých souborů podrobněji.

3.1   radiusd.conf

Základním konfiguračním souborem serveru FreeRADIUS je soubor radiusd.conf. Je dost rozsáhlý, nicméně valnou většinu objemu zabírají komentáře a navíc lze u většiny parametrů ponechat výchozí hodnoty.

Nejzajímavější součástí jeho konfigurace je, odkud má čerpat informace o uživatelích a jejich heslech. FreeRADIUS podporuje několik alternativních způsobů, nejzajímavější z nich ale jistě bude LDAP - dá se předpokládat, že většina institucí dříve či později nasadí LDAP server, který poskytne jednotnou platformu pro správu uživatelů a jejich oprávnění. Naše univerzita LDAP server provozuje a RADIUS server čerpá uživatelská jména a hesla z něj. Nejvýznamnějším zásahem do radiusd.conf proto bylo nastavení komunikace s LDAP serverem.

Zdroje autentizačních informací mají ve FreeRADIUSu podobu modulů, proto se konfigurační změny odehrály v sekci modules, kde najdete i modul ldap, jehož konfigurace v našem případě vypadá takto:

ldap {
        server = "ldaps://ldap.vslib.cz"
        identity = "cn=ldapbrowse_eduroam,ou=liane,o=vslib"
        password = ****************
        basedn = "ou=liane,o=vslib"
        filter = "(uid=%{Stripped-User-Name:-%{User-Name}})"

        tls_mode = yes
        tls_cacertfile = /etc/raddb/certs/cca.pem.crt

        dictionary_mapping = ${raddbdir}/ldap.attrmap

        ldap_connections_number = 5
        password_attribute = radiuspassword
        timeout = 4
        timelimit = 3
        net_timeout = 1
}

Autentizace prostřednictvím LDAP je bohužel implicitně vypnuta. Příkazy jsou v konfiguračním souboru sice připraveny, ale implicitně jsou převedeny na komentáře. Proto je třeba odstranit komentář v sekci authenticate u

authenticate {
        ...
        Auth-Type LDAP {
                ldap
        }
        ...
}

Také v sekci authorize je třeba zrušit znak komentáře před ldap:

authorize {
        ...
        ldap
        ...
}

Zbývající úpravy souboru radiusd.conf již nesouvisejí s projektem eduroam.cz, nicméně doporučujeme je vaší pozornosti. V modulu preprocess jsme zapnuli opravu nekorektního chování Windows NT, která předřazují uživatelskému jménu svou doménu:

preprocess {
        ...
        with_ntdomain_hack = yes
        ...
}

Ve výchozí konfiguraci server nezaznamenává autentizační požadavky. Jelikož je považujeme za přínosné, povolili jsme jejich logování, což zahrnuje jednak globální parametr

log_auth = yes

jednak později v části modules v modulu detail nastavení informací, které se mají zaznamenávat:

detail {
    ...
    detail auth_log {
        detailfile = ${radacctdir}/%{Client-IP-Address}/auth-detail-%Y%m%d
        detailperm = 0600
}

3.2   proxy.conf

Soubor proxy.conf řídí předávání RADIUS dotazů. Jeho prostřednictvím je nastaveno, že dotazy na zdejší uživatele (místní realm) se mají vyřizovat lokálně, zatímco dotazy na uživatele pocházející z jiných institucí (realmů) jsou předávány národním serverům radius1.eduroam.cz a radius2.eduroam.cz. Předávání na národní servery je nastaveno jako implicitní (DEFAULT), zatímco lokální realmy jsou de facto výjimkami z tohoto obecného pravidla. Naše univerzita v současné době přechází z domény vslib.cz na tul.cz, proto připouštíme u našich uživatelů dva realmy:

realm tul.cz {
        type            = radius
        authhost        = LOCAL
        accthost        = LOCAL
}

realm vslib.cz {
        type            = radius
        authhost        = LOCAL
        accthost        = LOCAL
}

realm DEFAULT {
        type            = radius
        authhost        = radius1.eduroam.cz:1812
        accthost        = radius1.eduroam.cz:1813
        secret          = heslo1
        nostrip
}

realm DEFAULT {
        type            = radius
        authhost        = radius2.eduroam.cz:1812
        accthost        = radius2.eduroam.cz:1813
        secret          = heslo2
        nostrip
}

3.3   users

Soubor users zavádí lokální uživatele. Vzhledem k tomu, že autentizace normálních uživatelů probíhá prostřednictvím LDAP, zde se nijak neprojeví. Prostřednictvím tohoto souboru ale realizujeme autentizaci pro síť eduroam-mac založenou na fyzických adresách zařízení. Chcete-li do sítě vpustit klienta s MAC adresou 00:02:03:04:05:0c, přidejte do souboru users záznam

00020304050c  Auth-Type = Local, User-Password == "00020304050c"

Fyzické adresy zde figurují dvakrát - jednou jako uživatelské jméno, podruhé jako heslo dotyčného uživatele. Zapisují se bez oddělovačů, šestnáctkové číslice malými písmeny. Veškeré ostatní (implicitně zapnuté) mechanismy, jako například PPP, jsme vypustili, takže kompletní obsah souboru users vypadá následovně:

00020304050c  Auth-Type = Local, User-Password == "00020304050c"
# ... další klienti autentizovaní MAC adresou

DEFAULT Auth-Type = Local
        Fall-Through = 1

3.4   clients.conf

Soubor clients.conf definuje klienty, kteří se mohou k RADIUS serveru připojovat, a hesla, jež používají. Záznamy v něm mají následující podobu:

client 147.230.19.18 {
    secret = heslo
    shortname = chillispot
}

Za klíčovým slovem client následuje doménové jméno či IP adresa dotyčného klienta. Rozhodujícím parametrem je secret, jenž obsahuje sdílené heslo pro komunikaci s daným partnerem. Ten musí ve své konfiguraci RADIUS protokolu mít nastaveno stejné heslo. Hodnota shortname je informativní a používá se při logování.

Jako klienty musíte do svého RADIUS serveru zavést:

• národní RADIUS servery - od nich budou přicházet dotazy na vaše uživatele, pokud se pokusí přihlásit v jiné síti; v současnosti se jedná o servery radius1.eduroam.cz a radius2.eduroam.cz, jejich aktuální adresy a hesla vám sdělí správci eduroam.cz
• všechny přístupové body vaší sítě - ty budou pomocí RADIUS ověřovat uživatelské údaje získané protokolem 802.1X
• server ChilliSpot, zajišťující WWW autentizaci - ověřuje údaje zadané do autentizačního formuláře
• VPN koncentrátor vaší sítě, pokud jej používáte - ověřuje vaše uživatele, kteří u něj projevili zájem o vytvoření VPN

3.5   eap.conf

V souboru eap.conf se nastavují bezpečnostní mechanismy a jejich parametry používané při autentizaci. Ve výchozí konfiguraci jsou potlačeny protokoly TLS, TTLS a PEAP, které považujeme za žádoucí, proto jsme je povolili.

Základem jejich činnosti je konfigurace TLS, která v našem případě vypadá takto:

tls {
        private_key_file = ${raddbdir}/certs/radius1.vslib.cz-key.pem.rsa
        certificate_file = ${raddbdir}/certs/radius1.vslib.cz.crt

        #  seznam důvěrychodných CA
        CA_file = ${raddbdir}/certs/cesnet-ca.crt

        dh_file = ${raddbdir}/certs/dh
        random_file = ${raddbdir}/certs/random

        fragment_size = 1024
}

Soubory s privátním klíčem (zde radius1.vslib.cz-key.pem.rsa), certifikátem (/radius1.vslib.cz.crt) a seznamem důvěryhodných certifikačních autorit (cesnet-ca.crt) vzniknou během získávání certifikátu od certifikační autority sdružení CESNET. Tento proces přesahuje rámec této technické zprávy, je popsán na www.eduroam.cz.

Protokoly TTLS a PEAP používají parametry nastavené pro TLS. Proto je de facto stačí jen zapnout a nastavit implicitní zabezpečení:

ttls {
        default_eap_type = md5
}

peap {
        default_eap_type = mschapv2
 }

3.6   attrs

Prostřednictvím souboru attrs lze omezovat vlastnosti dotazů pro jednotlivé realmy. Lze nastavit, jaké atributy a případně i jaké jejich hodnoty budou akceptovány. Atributy vybočující z definovaných pravidel budou z dotazu při předávání odstraněny.

Pro naši konfiguraci stačí nastavit implicitní chování, tedy realm DEFAULT. V našem případě jsme použili toto nastavení:

DEFAULT
  User-Name =* ANY,
  Called-Station-Id =* ANY,
  Calling-Station-Id =* ANY,
  Message-Authenticator =* ANY,
  EAP-Message =* ANY,
  NAS-Port-Type =* ANY,
  NAS-Port =* ANY,
  Service-Type =* ANY,
  NAS-IP-Address =* ANY,
  NAS-Identifier =* ANY,
  Proxy-State =* ANY,
  Framed-MTU >= 576,
  Framed-Filter-ID =* ANY,
  Reply-Message =* ANY,
  Proxy-State =* ANY,
  Session-Timeout <= 28800,
  Idle-Timeout <= 600,
  Port-Limit <= 2,
  MS-MPPE-Send-Key =* ANY,
  MS-MPPE-Recv-Key =* ANY,

# naše doplňky
  cisco-avpair =* ANY,
  WISPr-Location-ID =* ANY,
  Cisco-NAS-Port =* ANY

3.7   ldap.attrmap

Soubor řídí vzájemné mapování položek mezi protokoly LDAP a RADIUS. Tedy který název atributu pro RADIUS odpovídá kterému pro LDAP. Například my v LDAPu ukládáme heslo pro RADIUS pod nestandardním jménem rADIUSPassword, proto jsme do ldap.attrmap přidali pravidlo:

checkItem  radiuspassword         rADIUSPassword

Mapování pochopitelně velmi závisí na jménech atributů v LDAP databázi.

4   ChilliSpot - WWW a VPN autentizace

Autentizace prostřednictvím WWW formuláře vyžaduje existenci WWW serveru s příslušným obslužným programem. Rozhodli jsme se použít pro tento účel otevřený program ChilliSpot. Ve skutečnosti jeho prostřednictvím realizujeme dva způsoby autentizace - WWW a VPN.

ChilliSpot pracuje jako gateway mezi bezdrátovou sítí a zbytkem světa. Jedná se o počítač vybavený dvěma síťovými kartami - eth1 je napojena na distribuční systém přístupových bodů pro bezdrátovou síť, eth0 do běžné síťové infrastruktury univerzity. Pro bezdrátovou síť eduroam-simple působí jako DHCP server, který připojeným stanicím přiděluje adresy z neveřejného prostoru 192.168.182.0/24. Zároveň provádí překlad adres (NAT), jehož prostřednictvím mapuje tyto neveřejné adresy na svou veřejnou adresu z rozhraní eth0.

Počítač, který vstoupí do sítě eduroam-simple, obdrží prostřednictvím DHCP od ChilliSpotu neveřejnou IP adresu a zároveň (neveřejnou) adresu ChilliSpotu jako implicitní bránu ven. Již v tomto okamžiku má počítač povoleno komunikovat s VPN koncentrátory partnerských institucí. Pro VPN autentizaci nepotřebuje nic jiného a může začít pracovat. Ostatní datový provoz je blokován, jen WWW dotazy jsou automaticky přesměrovány na autentizační formulář poskytovaný samotným ChilliSpotem.

Otevře-li uživatel WWW klienta a pokusí se otevřít libovolnou stránku, objeví se mu formulář s výzvou k zadání uživatelského jména a hesla. Jakmile tak učiní, ChilliSpot ověří zadané údaje v RADIUS hierarchii. Pokud je úspěšný, zařadí si počítač mezi autentizované a začne pro něj provádět překlad adres, takže mu umožní komunikaci se zbytkem světa.

Konfigurace programu ChilliSpot je dost jednoduchá. Obsahuje především nastavení DHCP a jím poskytovaných parametrů, vazbu na RADIUS (adresu zdejšího serveru, heslo a NAS identifikátor), adresu autentizačního formuláře a výjimky (cílové adresy, kam je povolena komunikace i bez autentizace). VPN koncentrátory v síti CESNET2 jsou adresovány jednotně v rámci adresního rozsahu 195.113.214.0/25. Jejich povolení je proto velmi snadné - stačí uvést tento rozsah jako výjimku z autentizace (příkaz uamallowed).

# konfigurace DHCP
# povolit na rozhraní eth1
dhcpif eth1
# parametry poskytované klientům - DNS server(y) a doména
dns1 147.230.16.1
domain wifi.vslib.cz

# RADIUS server
radiusserver1 147.230.16.140
radiussecret heslo
radiusnasid chilli01

# formulář pro WWW autentizaci
uamserver https://192.168.182.1/cgi-bin/hotspotlogin.cgi

# adresy povolené i bez autentizace - VPN koncentrátory
uamallowed 147.230.16.246,195.113.214.0/25

Problém vzniká s VPN koncentrátory zahraničních partnerů. V rámci mezinárodního projektu eduroam zatím nebylo nalezeno řešení, jak jejich adresy registrovat a vkládat do konfigurací a neexistuje ani jejich centrální seznam. V současné době proto využívání zahraničních VPN koncentrátorů neumožňujeme. Vzhledem k tomu, že směrování datového provozu účastníka přes VPN koncentrátor umístěný řekněme v Norsku by bylo extrémně neefektivní, vzniká otázka, zda má jejich povolení vůbec valný smysl. Zatím nezbývá, než vyčkat, jak se situace vyvine v mezinárodním měřítku.

Konfigurace samozřejmě poskytuje bohatší možnosti, ale valné většině položek lze ponechat výchozí hodnoty. Pokud by vám například nevyhovovala implicitně používaná neveřejná síť 192.168.182.0/24 pro bezdrátové stanice, lze ji změnit parametrem net.

5   Autentizace 802.1X

Tento způsob autentizace, přestože kvalitnější a bezpečnější, je koncepčně jednodušší než předchozí případ. Autentizaci ověřuje přímo přístupový bod - od stanice protokolem 802.1X zjistí uživatelské jméno a heslo, které pak ověří u RADIUS serveru. Dopadne-li ověření úspěšně, uvolní pro stanici komunikační kanál. V tomto případě se pro přidělení adresy a komunikačních parametrů používá standardní DHCP server univerzitní sítě. Přidělované adresy nejsou privátní, ale pocházejí z veřejného adresního prostoru naší sítě, konkrétně z podsítě 147.230.219.0/24.

Konfigurace tohoto typu autentizace tedy v podstatě spočívá jen v konfiguraci přístupového bodu, jež je popsána v následující kapitole. Kromě toho vyžaduje existenci DHCP serveru (resp. drobné rozšíření konfigurace stávajícího serveru, protože většina sítí již DHCP server provozuje). V našem případě vypadá příslušná část konfigurace dhcpd následovně:

subnet 147.230.219.0 netmask 255.255.255.0 {
    option subnet-mask 255.255.255.0;
    option broadcast-address 147.230.219.255;
    option routers 147.230.219.250;
    option domain-name-servers 147.230.16.140, 147.230.16.1;
    option domain-name "vslib.cz";
    default-lease-time 86400;
    allow unknown-clients;
    range 147.230.219.1 147.230.219.240;
}

6   Konfigurace přístupového bodu

Jako přístupové body používáme výrobky řady Aironet firmy Cisco Systems. Jedním z důvodů je i to, že jejich konfigurační nástroje jsou homogenní s přepínači téhož výrobce, které používáme v naší síti. Konfiguraci přístupového bodu proto popíšeme na příkladu těchto prvků.

Přístupové body poskytují v rámci bezdrátového připojení tři oddělené sítě - eduroam, eduroam-simple a eduroam-mac - s odlišnými způsoby autentizace. Tato skutečnost se promítá i do distribučního systému, protože při vzájemné komunikaci přístupových bodů či přenosu dat mimo bezdrátovou síť je třeba tyto dvě sítě oddělovat.

Proto jsme v rámci univerzitní sítě vytvořili tři virtuální sítě - síť 260 pro eduroam, síť 261 pro eduroam-simple a síť 262 pro eduroam-mac. Tyto virtuální sítě jsou konfigurovány i na ethernetovém rozhraní jednotlivých přístupových bodů. Používání bezdrátových virtuálních sítí identifikovaných SSID je nutno nejprve povolit. Slouží k tomu konfigurační příkaz

dot11 mbssid

Tato vlastnost je podporována až v novějších verzích IOS, konkrétně od verze 12.3(4)JA.

6.1   Síť eduroam-simple

Začněme sítí eduroam-simple, která je z pohledu konfigurace přístupového bodu nejjednodušší. Přístup do ní není přístupovým bodem nijak omezován, omezení je realizováno v distribučním systému - počítače se nedostanou do běžné sítě, jen k ChilliSpot serveru, který rozhoduje o dalším osudu jimi odesílaných dat.

V konfiguraci přístupového bodu je záhodno síť pojmenovat a přidělit jí SSID. Síť je otevřena (authentication open) a její přítomnost je ohlašována klientům (mbssid guest-mode).

dot11 vlan-name eduroam-simple vlan 261

dot11 ssid eduroam-simple
   vlan 261
   authentication open 
   accounting eduroam-acc
   mbssid guest-mode

Jedná se o virtuální síť realizovanou prostřednictvím 802.1Q s číslem sítě 261. Tuto skutečnost je třeba konfigurovat jak na bezdrátovém rozhraní, tak na Ethernetu:

interface Dot11Radio0.261
 description VPN + WWW authentizace
 encapsulation dot1Q 261

interface FastEthernet0.261
 description VLAN k ChilliSpotu
 encapsulation dot1Q 261

6.2   Síť eduroam

Konfigurace sítě eduroam s autentizací 802.1X a šifrováním je poněkud složitější. Nejprve je třeba definovat způsob autentizace, který bude v této síti používán:

aaa authentication login eduroam group radius

Následuje zavedení sítě a jejího SSID, tentokrát se ovšem autentizační mechanismus odkazuje na výše zevedenou skupinu eduroam s použitím protokolu EAP:

dot11 vlan-name eduroam vlan 260

dot11 ssid eduroam
   vlan 260
   authentication open eap eduroam 
   authentication network-eap eduroam 
   authentication key-management wpa cckm optional
   accounting eduroam-acc
   mbssid guest-mode

Jelikož provoz má být šifrován, je třeba v konfiguraci bezdrátového rozhraní nastavit parametry šifrování (preferován je protokol TKIP, pokud jej zařízení nepodporuje, použije se WEP se 128bitovým klíčem). Kromě toho je třeba opět provoz zařadit do virtuální sítě, tentokrát s číslem 260:

interface Dot11Radio0
 encryption vlan 260 mode ciphers tkip wep128 

interface Dot11Radio0.260
 description 802.1x
 encapsulation dot1Q 260

interface FastEthernet0.260
 description Auth - 802.1x
 encapsulation dot1Q 260

6.3   Síť eduroam-mac

Pro úplnost ještě uvádíme konfiguraci sítě eduroam-mac, přestože s tématem souvisí jen okrajově. Autentizace v ní sice vychází z MAC, je ale realizována také prostřednictvím RADIUS serveru. Stanice oprávněné k jejímu využívání se konfigurují v souboru users serveru FreeRADIUS, jak bylo popsáno výše. Z hlediska přístupového se tedy jedná o autentizaci na bázi RADIUS, proto zavádí skupinu eduroam-mac definovanou takto:

aaa authentication login eduroam-mac group radius

Síť je pojmenována a používá právě definovanou autentizační skupinu. Pro autentizaci však nepoužívá protokol EAP, ale fyzické adresy. Přítomnost této sítě se klientům neohlašuje, proto zde chybí příkaz mbssid guest-mode.

dot11 vlan-name tuonet-mac vlan 262

dot11 ssid eduroam-mac
   vlan 262
   authentication open mac-address eduroam-mac
   accounting eduroam-mac-acc

A samozřejmě konfigurace virtuální sítě 262 na příslušných rozhraních:

interface Dot11Radio0.262
 description autentizace podle MAC
 encapsulation dot1Q 262

interface FastEthernet0.262
 description autentizace podle MAC
 encapsulation dot1Q 262

6.4   Globální konfigurace

Některé způsoby autentizace vyžadují komunikaci s RADIUS serverem. Jeho parametry se nevztahují ke konkrétnímu rozhraní, ale jsou součástí globální konfigurace přístupového bodu. Konkrétně v našem případě má RADIUS server adresu 147.230.16.140 a odpovídající část konfigurace vypadá takto:

radius-server attribute 32 include-in-access-req format %h
radius-server attribute 32 include-in-accounting-req format %h
radius-server host 147.230.16.140 auth-port 1812 acct-port 1813 key 7 xxx
radius-server vsa disallow unknown
radius-server vsa send accounting
radius-server vsa send authentication

Je také třeba definovat, kterou IP adresu má přístupový bod používat pro komunikaci s RADIUS serverem (který komunikuje jen s klienty, jejichž adresy má konfigurovány). Používáme k tomu účelu adresu nastavenou na správním rozhraní přístupového bodu (rozhraní BVI1):

ip radius source-interface BVI1

Kromě toho je třeba instruovat bezdrátové rozhraní, které virtuální bezdrátové sítě má akceptovat:

interface Dot11Radio0
 ssid eduroam
 ssid eduroam-simple
 ssid eduroam-mac

Pro úplnost se zmiňme ještě o konfiguraci logování (terminologií přístupových bodů Aironet aaa accounting), na které byly odkazy výše v definici jednotlivých virtuálních sítí. Logujeme prostřednictvím RADIUS serveru, který ukládá ve svých protokolech záznamy o autentizaci jednotlivých uživatelů (konfiguraci jeho logovacích mechanismů najdete výše v souboru radiusd.conf). Přístupový bod pak obsahuje následující konfigurační příkazy:

aaa accounting network eduroam-acc start-stop group radius
aaa accounting network eduroam-mac-acc start-stop group radius
aaa accounting connection eduroam-acc start-stop group radius
aaa accounting connection eduroam-mac-acc start-stop group radius

7   Závěr

Výše popsané napojení lokální bezdrátové sítě na autentizační infrastrukturu projektu eduroam.cz umožňuje plnohodnotné zapojení uživatelů do této infrastruktury. Je postaveno na otevřených programech FreeRADIUS a ChilliSpot, nic tedy nebrání jeho využití v dalších sítích. Dostatečně zkušený správce by neměl mít problémy z přizpůsobením popsaných konfiguračních parametrů místním podmínkám.

Použitá literatura

[tr12-04]	Furman J.: Popis roamingu a mobility v rámci české NREN technická zpráva číslo 12/2004, CESNET, 2004 http://www.cesnet.cz/doc/techzpravy/2004/roaming/
[tr31-04]	Tomášek J.: Technické podmínky připojení sítě k eduRoam.cz technická zpráva číslo 31/2004, CESNET, 2004 http://www.cesnet.cz/doc/techzpravy/2004/eduroam/