anbindung der max-planck-institute am globalen roaming
Post on 04-Feb-2016
46 Views
Preview:
DESCRIPTION
TRANSCRIPT
Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen
Am Fassberg, 37077 Göttingen
Fon: 0551 201-1510 Fax: 0551 21119gwdg@gwdg.de www.gwdg.de
von
Anbindung der Max-Planck-Institute am Anbindung der Max-Planck-Institute am globalen Roamingglobalen Roaming
Andreas Ißleiber
(aisslei@gwdg.de)
http://www.gwdg.de/~aisslei
EDUROAM: Was ist das ?EDUROAM: Was ist das ?
• EduRoam = (Education Roaming)http://www.dfn.de/dienstleistungen/dfnroaming/
• EDUROAM bietet eine einfache Möglichkeit für deren Mitglieder, die Netzwerkzugänge anderer Institutionen zu nutzen
• Ziel ist der einfache Zugang für Gäste zum Internet, ohne Nutzung lokaler „Gast“-Accounts (Tagungen etc.)
• Primär werden verschlüsselte WiFi Verbindungen als Zugangswege in den Instituten für Gäste bereit gestellt
• Voraussetzung hierfür ist die Teilnahme am EDUROAM Verbund (in Deutschland DFN)
• Zugangsberechtigt sind alle Angehörige der teilnehmenden Forschungseinrichtungen (auch Studierende)
3
EDUROAM: Verbreitung (weltweit)
EDUROAM: Verbreitung (Europa) EDUROAM: Verbreitung (Europa)
In Europa: Stand 2010/09
EDUROAM: Verbreitung (Deutschland)EDUROAM: Verbreitung (Deutschland)
Göttingen:
1. MPI f. Biophys. Chemie2. MPI f. Exp. Medizin3. Universität Göttingen4. GWDG
Summe deutscher Institutionen: 201
Derzeit sind nur 4 MPIs integriert:
• Max Planck Institut für Informatik• Max Planck Institut für Softwaresysteme (Standord Saarbrücken)• Max Planck Institut für Softwaresysteme (Standort Kaiserslautern)• Max-Planck-Campus Golm
EDUROAM: Die TechnikEDUROAM: Die Technik
• Ein RADIUS-Server Verbund garantiert die Authentifizierung der Benutzer in deren Heimatinstitution
• Jede teilnehmende Institution betreibt einen RADIUS Server zur Authentifizierung seiner Benutzer, welcher im DFN Radius-
Verbund integriert sein muss
• Lokale Benutzerdatenbank: Meist „steckt“ hinter dem RADIUS Server eine lokale Benutzerdatenbank (LDAP, AD, NIS, Datenbank etc.)
• Die lokale WiFi Infrastruktur muss WPA (besser WPA2) beherrschen
• Identifikation (Routing) durch Angabe des realm im Username:(user@mpibpc.mpg.de)
Benutzer: user@uni-goettingen.de
EDUROAM: EDUROAM: Wege der Wege der AuthentifizierungAuthentifizierung
TU BerlinRADIUS-Server
Internet
GWDGRADIUS-Server
DFNRADIUS-Server
Universität Göttingen TU Berlin
Benutzer: user@tu-berlin.de
Accesspoint Accesspoint
6
1
2
3
45
7SSID: eduroam SSID: eduroam
Benutzer: user@uni-goettingen.de
Der Benutzer gibt seinen Benutzernamen sowie sein Passwort ein: user@tu-berlin.de. Benutzername und Passwort werden vom Accesspoint (über einen WLAN-Controller) zum lokalen RADIUS-Server der GWDG geschickt.
1
Benutzer: user@uni-goettingen.de
Der lokale RADIUS-Server der GWDG erkennt aufgrund des eingegebenen realms (@tu-berlin.de) des Benutzernamens, dass es sich um einen ortsfremden Benutzer handelt und schickt die Anfrage an den zentralen RADIUS-Server des DFN weiter.
2
Benutzer: user@uni-goettingen.de
Der DFN-RADIUS-Server hat eine Tabelle aller am eduroam teilnehmenden Einrichtungen in Deutschland und verweist aufgrund des realms (@tu-berlin.de) im konkreten Fall an den RADIUS-Server der Heimatinstitution des Benutzers (TU Berlin).
3 Der RADIUS-Server der Heimatinstitution prüft die Gültigkeit des Benutzernamens/Passwortes und schickt das Ergebnis (richtig oder falsch) an den zentralen DFN RADIUS-Server zurück.
4 Der DFN-RADIUS-Server schickt das Ergebnis in seiner Funktion als Proxy an den RADIUS-Server der anfragenden Institution weiter.5 Der lokale GWDG-RADIUS-Server schickt das Ergebnis der
Überprüfung an den WLAN-Controller im GoeMobile weiter.6
Waren das eingegebene Passwort und der Benutzername korrekt, wird vom WLAN-Controller über den Accesspoint der Zugang für den ortsfremden Benutzer freigeschaltet und der Benutzer kann über eine verschlüsselte WLAN-Verbindung das Internet nutzen.
7
EDUROAM: Wege der AuthentifizierungEDUROAM: Wege der Authentifizierung
1
3
Der Benutzer gibt seinen Benutzernamen sowie sein Passwort ein: user@tu-berlin.de. Benutzername und Passwort werden vom Accesspoint (über einen WLAN-Controller) zum lokalen RADIUS-Server der GWDG geschickt.
Der lokale RADIUS-Server der GWDG erkennt aufgrund des eingegebenen realms (@tu-berlin.de) des Benutzernamens, dass es sich um einen ortsfremden Benutzer handelt und schickt die Anfrage an den zentralen RADIUS-Server des DFN weiter.
Der DFN-RADIUS-Server hat eine Tabelle aller am eduroam teilnehmenden Einrichtungen in Deutschland und verweist aufgrund des realms (@tu-berlin.de) im konkreten Fall an den RADIUS-Server der Heimatinstitution des Benutzers (TU Berlin).
Der RADIUS-Server der Heimatinstitution prüft die Gültigkeit des Benutzernamens/Passwortes und schickt das Ergebnis (richtig oder falsch) an den zentralen DFN RADIUS-Server zurück.
Der DFN-RADIUS-Server schickt das Ergebnis in seiner Funktion als Proxy an den RADIUS-Server der anfragenden Institution weiter.
Der lokale GWDG-RADIUS-Server schickt das Ergebnis der Überprüfung an den WLAN-Controller im GoeMobile weiter.
Waren das eingegebene Passwort und der Benutzername korrekt, wird vom WLAN-Controller über den Accesspoint der Zugang für den ortsfremden Benutzer freigeschaltet und der Benutzer kann über eine verschlüsselte WLAN-Verbindung das Internet nutzen.
2
4
5
6
7
EDUROAM: Anbindung diverser AuthentifizierungsquellenEDUROAM: Anbindung diverser Authentifizierungsquellen
Internet
GWDG-RADIUS-Serverradius1-edu.gwdg.de
Windows Active Directory realm: em.mpg.de
LDAPrealms: gwdg.de
uni-goettingen.de
LDAPrealm: stud.uni-goettingen.de
GWDG-RADIUS-Serverradius2-edu.gwdg.de
user@gwdg.de
user@uni-goettingen.de
user@stud.uni-goettingen.de
user@mpibpc.mpg.de
user@em.mpg.de
RADIUS-Server(Fremde Einrichtung)
RADIUS-ServerDFN
1
2
3
4
5
1
2
3
5
3*
4
2*
1*
Windows Active Directory realm: stud.uni-goettingen.de
Windows Active Directory realm: mbpc.mpg.de
Windows Active Directory realm: uni-goettingen.de
Windows Active Directory realm: gwdg.de
Fremde Einrichtung außerhalb von Göttingen
GWDG, Universität Göttingen
Benutzergruppen:
*: bei Passwortverschlüsselung „crypt“ oder „plaintext“
Stand: 6/2010,GWDG, Andreas Ißleiber
EDUROAM: Gäste im eigenen Netz EDUROAM: Gäste im eigenen Netz
Accesspoint
Lokaler Benutzer: user@uni-goettingen.deoder Benutzer einer fremden Einrichtung am Bsp.: user@rwth-aachen.de
EAP-Client
verschlüsselte Verbindung über FunkSicherheitstyp: WPA2-Enterprise
Verschlüsselung: AES o.TKIP
GoeMobileWLAN-Controller
Internet
GWDGeduroamRADIUS-Server (z.B. freeradius)
GÖNET
UnverschlüsselteVerbindungins Internet
SSID: eduroam mit WPA o. WPA2 Verschlüsselung
Authentifizierung
(T)TLS, PEAP, …
Authentifizierung in 2 Phasen:1.) Äußere Identität (anonymous@gwdg.de)2.) Innere Identität (username)
EDUROAM: ClientsEDUROAM: Clients
11
• Zusätzliche Software: SecureW2 (EAP Client)
• Besser: Im OS integrierte EAP-Clients- Windows XP,Vista,7,2008 (auch 64Bit)- LINUX (diverse)- Apple OS (Snow Leopard)
• Smartphones: - Apple iPhone/pod/pad- Windows mobile (PDA)- Palm- Android OS
• Hilfe zur Clientinstallation http://www.gwdg.de/index.php?id=2195
EDUROAM: Aufbau bei der GWDG, DetailsEDUROAM: Aufbau bei der GWDG, Details
12
• FreeRadius Server (redundant) in VMWARE virtualisiert
• Monitoring mit CACTI (externer Zugang auch für MPIs)
• Anbindung an weitere Authentifizierungsdatenbanken (LDAP und AD: abhängig v.d. Passwortverschlüsselung)
• MySQL Datenbank für Logging und Statistiken
EDUROAM: Anbindung der MPIsEDUROAM: Anbindung der MPIsDiverse Varianten:
1.) Eigeninitiative im Institut:
- Autonomer Aufbau eines eigenen RADIUS Server- Anbindung an Userdatabase- Anbindung zum DFN
2.) Anbindung am RADIUS Server der GWDG:
- kein zus. Aufwand im Institut- Nutzung der redundanten Infrastruktur der GWDG
- keine Einarbeitung in die teilweise recht komplexe Thematik - Anbindung an DFN Verbund bereits erfolgt
- gültige Server-Zertifikate
- Monitoring
3.) Virtualisierter (eigener) RADIUS Server bei der GWDG:
- Nutzung eines RADIUS Server Templates bzgl. EDUROAM
- vollständige, eigene Kontrolle des Systems
13
14
EDUROAM: Nutzung der Dienste über die GWDGEDUROAM: Nutzung der Dienste über die GWDG
Internet
GWDG-RADIUS-Serverradius1-edu.gwdg.de
GWDG-RADIUS-Serverradius2-edu.gwdg.de
RADIUS-ServerDFN
Instituts User Datenbank• LDAP(s)• Active Directory• NIS• Datenbank
Max-Planck-Institut für xxxGWDG
Accesspoint:SSID: eduroam mit EAP und WPA(2)
Realm: user@xxx.mpg..de ggf. WLAN Controller
Kommunikation verschlüsselt
LDAPsSSL/SSH
VPN
Was wird auf Seiten des MPI benötigt:
WLAN-Struktur mit WPA(2) Möglichkeit zur Aussendung mehrerer SSIDs Angabe eines Authentifizierungsserver pro SSID (RADIUS) Benutzerdatenbank: LDAP, AD, NIS Mut
Vorteil: Möglichkeit, ggf. das FunkLAN umgebender Institutionen zu nutzen (Universitäten)
15
EDUROAM: Nutzung der Dienste über die GWDGEDUROAM: Nutzung der Dienste über die GWDG
16
amu.edu.planu.edu.aucharite.decms.hu-berlin.dedesy.defh-friedberg.defh-kiel.defu-berlin.degwdg.degwdg.de141.22.59.41gwdg.de141.23.34.111hawk-hhg.dehro.nlhs-wismar.dehva.nlijs.sikclad.ds.kcl.ac.ukkent.ac.ukkit.eduleidenuniv.nllmu.demaths.qmul.ac.ukmytum.deox.ac.ukruhr-uni-bochum.derwth-aachen.de
unibe.chuni-bielefeld.deuni-due.deuni-duisburg-essen.deuni-giessen.deuni-goettingen.deuni-hamburg.deuni-hannover.deuni-hildesheim.deuni-leipzig.deunimaas.nluni-mainz.deuni-muenster.deuni-osnabrueck.deuni-paderborn.deuni-siegen.deuni-tuebingen.deunivie.ac.atuni-wuerzburg.deupol.czutwente.nluva.nlwin.tu-berlin.dewu.ac.atwu-wien.ac.atzedat.fu-berlin.de
soas.ac.uksoton.ac.ukst.amu.edu.plst-andrews.ac.ukstudent.fe.uc.ptstudent.fh-kiel.destudent.kit.edustudent.rug.nlstudents.uni-marburg.destud.uni-goettingen.destud.uni-stuttgart.desussex.ac.ukswansea.ac.uktu-berlin.detu-bs.detu-chemnitz.detu-darmstadt.detudelft.nltu-dortmund.detu-dresden.detu-ilmenau.detum.deua.esua.ptu-bordeaux2.frunet.univie.ac.at
EDUROAM: Nutzerstatistiken in GöttingenEDUROAM: Nutzerstatistiken in Göttingen
Anonymisierte Logins fremder Nutzer(in) in Göttingen (letzten 6 Wochen)
EDUROAM: Nutzerstatistiken in GöttingenEDUROAM: Nutzerstatistiken in Göttingen
17
Summe: Göttinger Benutzer in Fremdeinrichtungen
Gäste in Göttingen aus Fremdeinrichtungen
Summe: Göttinger Benutzer/inLokal im Eduroam
Göttinger Benutzer in Fremdeinrichtungen
Summe: Gäste in Göttingen aus Fremdeinrichtungen
Göttinger Benutzer lokal (Wochen)
Jahr Woche
18
CISCOSYSTEMSCISCOYSTEMSS
CISCOSYSTEMSUPPERPOWERLOWERPOWERNORMAL… Fragen… Fragen
Vielen Dank!Vielen Dank!
und Diskussionen!und Diskussionen!
Vortrag ist unter: …http://www.gwdg.de/~aisslei/
… zu finden
??
top related