Co je to eduroam?
eduroam (education roaming) je bezpečná a celosvětová roamingová WiFi infrastuktura vyvíjená a provozovaná mezinárodní výzkumnou a vzdělávácí komunitou. eduroam umožňuje studentům, vědcům a personálu participujících organizací získat přístup k Internetu kdekoli je přítomen prostým otevřením jejich laptopu. Kdykoliv se chce uživatel připojit k eduroamu tak se poskytovatel služeb (ten co vysílá WiFi) prostřednictvím eduroam infrastruktury ptá příslušného poskytovatele identity (uživatelovy domácí instituce) jestli má uživateli povolit přístup. Tento dotaz je realizován takovým způsobem že nikdo nemůže zkopírovat eduroam účet uživatele. V tomto smyslu je eduroam bezpečný, je ale nutné aby uživatelské zařízení bylo správně nastaveno. Více o eduroam se lze dozvědět na stránkách eduroam.cz.
Na obrázku 1 lze vidět typické zapojení organizace k eduroam.cz, ze kterého jednotlivé příklady použití řešené v rámci tohoto projektu vycházejí.
Obrázek 1: Typické zapojení organizace do eduroamu (zdroj:eduroam.cz)
O projektu eduroom
Protože jsou pořizovací náklady pro vybudování eduroam infrastruktury poměrně velké, projekt eduroom se zabývá vytvářením low-cost alternativy ke stávajícím zařízením používaným v eduroam. Účelem je nabídnout nejen jednoduchou a rychlou instalaci RADIUS proxy serveru pro přeposílání požadavků na národní RAIDUS server, ale také kompletní řešení s Home serverem a databází pro lokální ověřování uživatelů. Je důležité podotknout, že tímto projektem necílíme pouze na eduroam, ale chceme poskytnout mezi-doménovou autentizaci také mimo toto prostředí. Jako příklad můžeme uvést společnost s několika pobočkami, která chce pro své zákazníky poskytnout autentizaci svých služeb.
Na této webové stránce lze nalézt návody pro konkrétní příklady užití:
- RADIUS + LDAP
Tento případ užití počítá s tím, že Home server plní roli lokálního RADIUS serveru a zpracovává autentizační požadavky pro klienty z domény, která je registrována na lokálním LDAP serveru. Pokud lokálně daná doména na LDAP serveru neexistuje, tak se dle nastavení buď požadavek zahodí, anebo je přeposlán na národní RADIUS server, který následně požadavky směruje dál. Vhodným užitím může být příklad restaurace, kde není potřeba všechny požadavky posílat na národní server, ale klienti se mohou ověřovat v rámci lokální LDAP databáze. - RADIUS Proxy
Určeno pro případ, když není na Home serveru k dispozici lokální LDAP server.
Tato konfigurace najde užití například na nádraží, které nepotřebuje vlastní doménu, ale je možné se připojit na již existující sítě a služby. Lokální RADIUS server pak přeposílá pouze autentizační požadavky na RADIUS server, který spravuje dané služby a domény.