Pilotní projekt eduroam.cz

Technická zpráva CESNETu číslo 35/2005
k dispozici též ve formátech PDF, PostScript a XML.

Jan Furman
22. 12. 2005

1    Pilotní projekt eduroam.cz

Systém eduroam zajišťuje roaming mezi participujícími (akademickými) organizacemi. Tato myšlenka vznikla v rámci pracovní skupiny "mobility TF" společnosti TERENA (www.terena.nl). Základní idea je umožnit uživatelům z připojených institucí možnost transparentně se připojovat do sítí ostatních členů, a to za použití své domácí identity (uživatelský účet - jméno/heslo). Detailní popis technického řešení lze nalézt na stránkách projektu (www.eduroam.cz).

V ČR byl systém eduroam nasazen do pilotního provozu 6. 9. 2004. Veškerou koordinaci na národní úrovni provádí sdružení CESNET jako provozovatel české sítě národního výzkumu. Tato technická zpráva obsahuje vyhodnocení pilotního projektu k 1. 12. 2005, tedy po 15 měsících provozu.

K 1. 12. 2005 je do systému eduroam v české republice zapojeno celkem 10 organizací. Jsou to:

• CESNET, z. s. p. o., Praha 6, Zikova 4
• CUNI
• Areál Jinonice, Praha 5, U Kříže 10
• FAF, Hradec Králové, Heyrovského 1203
• FF, Praha 1, Jana Palacha 2
• PRF, Praha 1, nám. Curieových 7
• Rektorát, Praha 1, Ovocný trh 5
• ČVUT
• FEL, Praha 6, Technická 2
• FJFI, Praha 1, Břehová 7
• OSU, Dvořákova 7, Ostrava
• SSŠVT, Litvínovská 600, Praha 9 Prosek
• TUL, Liberec 1, Hálkova 6
• UHK, Hradec Králové 3, Rokitanského 62
• UJEP, Ústí nad Labem, Hoření 13
• VŠCHT, Praha 6, Technická 5
• ZČU, Plzeň, Univerzitní 8

Během pilotního projektu se podařilo vybudovat plně funkční a použitelný roamingový systém, který je plně integrován do evropské roamingové struktury. Uživatelé z připojených organizací tak dostávají možnost síťové konektivity v obrovském množství přípojných míst.

Pro potřeby autentizace byla vybudována centrální autentizační a autorizační infrastruktura (AAI) na bázi protokolu RADIUS. Sdružení CESNET provozuje národní RADIUS servery, které jsou klíčovým prvkem systému a slouží jednak k propojování RADIUS serverů jednotlivých institucí a jednak pro napojení k top-level RADIUS serverům. Propojením RADIUS serverů do hierarchické struktury vzniká funkční AAI, která přenáší veškeré ověřovací údaje potřebné pro funkci systému eduroam.

V průběhu pilotního projektu došlo také k testování nové technologie pro AAI budoucí generace (protokol RadSec). Jde o vylepšený mechanizmus transportu autentizačních dat, který je stále postaven na protokolu RADIUS, nabízí ovšem podstatně vyšší míru zabezpečení. Ověřovací informace nemusí za určitých okolností procházet hierarchickou strukturou, nýbrž putují přímo k RADIUS serveru, který je pro uživatele autoritativní. Dojde tedy k přímému spojení RADIUS serverů domácí a hostující instituce, čímž se podstatně zkrátí reakční doba a spolehlivost celé operace.

S implementací spolehlivé AAI úzce souvisí i problematika monitoringu. V současné době je k monitorování dostupnosti jednotlivých RADIUS serverů použit systém Nagios s implicitním RADIUS modulem. Řešení je funkční, ale ne ideální, protože nezohledňuje různé typy EAP autentizace. Na zdokonalení monitoringu v době psaní této zprávy usilovně pracujeme.

Velká pozornost byla věnována osvětové a publikační činnosti. Během pilotního projektu jsme zveřejnili několik článků, vystoupili na odborných konferencích, zorganizovali odborný seminář a pracovali na vývoji informačního portálu www.eduroam.cz. Na zmíněné adrese lze nalézt mnoho užitečných informací, a to jak pro správce systému, tak pro uživatele. Zejména se jedná o příklady konfigurací, popis činnosti systému eduroam, odkazy na připojené instituce atd. Výsledkem je, že se eduroam úspěšně dostal do povědomí tisíců uživatelů.

Z důvodu usnadnění přístupu k eduroamu jak pro správce, tak i pro uživatele, jsme otestovali velké množství hardwaru a softwaru. Výsledky jsou zveřejněny na www.eduroam.cz. Jedná se především o síťové WiFi karty, ale také o access pointy, RADIUS servery, klientský software (802.1x supplicanty) atd.

Veškeré práce na systému eduroam v ČR jsou pochopitelně koordinovány se zahraničním, a to pomocí pracovních skupin, ve kterých aktivně působíme. Jde zejména o TERENA Mobility-TF (koordinace eduroamu na evropské úrovni) a aktivitu JRA5 projektu GN2, která se zabývá především vývojem moderních technologií pro eduroam "nové generace".

Přes všechny úspěchy však zbývá ještě hodně práce, a to zejména v oblasti monitoringu AAI. Pro plně provozní nasazení eduroamu je dokonalý monitoring nezbytný stejně jako vypracování metodiky pro efektivní řešení případných problémů. Dalším důležitým úkolem je rozšíření eduroamu na co největší počet organizací v rámci celé republiky. V neposlední řadě je potřeba věnovat značné úsilí do proškolení uživatelů. Kromě obecného zvyšování "povědomí" o systému eduroam je potřeba klást důraz na bezpečné použití systému (použití šifrovaného přenosu dat, bezpečných autentizačních metod, ?).

Z výše uvedených důvodů bylo přijato rozhodnutí pokračovat v pilotním projektu, a to až do odvolání. Systém je však již teď plně funkční a použitelný. Je ovšem potřeba k němu přistupovat jako k experimentálnímu a mít na zřeteli, že může občas vykazovat známky nestability.