Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen

Am Fassberg, 37077 Göttingen

Fon: 0551 201-1510 Fax: 0551 21119gwdg@gwdg.de www.gwdg.de

von

Anbindung der Max-Planck-Institute am Anbindung der Max-Planck-Institute am globalen Roamingglobalen Roaming

Andreas Ißleiber

(aisslei@gwdg.de)

http://www.gwdg.de/~aisslei

EDUROAM: Was ist das ?EDUROAM: Was ist das ?

• EduRoam = (Education Roaming)http://www.dfn.de/dienstleistungen/dfnroaming/

• EDUROAM bietet eine einfache Möglichkeit für deren Mitglieder, die Netzwerkzugänge anderer Institutionen zu nutzen

• Ziel ist der einfache Zugang für Gäste zum Internet, ohne Nutzung lokaler „Gast“-Accounts (Tagungen etc.)

• Primär werden verschlüsselte WiFi Verbindungen als Zugangswege in den Instituten für Gäste bereit gestellt

• Voraussetzung hierfür ist die Teilnahme am EDUROAM Verbund (in Deutschland DFN)

• Zugangsberechtigt sind alle Angehörige der teilnehmenden Forschungseinrichtungen (auch Studierende)

3

EDUROAM: Verbreitung (weltweit)

EDUROAM: Verbreitung (Europa) EDUROAM: Verbreitung (Europa)

In Europa: Stand 2010/09

EDUROAM: Verbreitung (Deutschland)EDUROAM: Verbreitung (Deutschland)

Göttingen:

1. MPI f. Biophys. Chemie2. MPI f. Exp. Medizin3. Universität Göttingen4. GWDG

Summe deutscher Institutionen: 201

Derzeit sind nur 4 MPIs integriert:

• Max Planck Institut für Informatik• Max Planck Institut für Softwaresysteme (Standord Saarbrücken)• Max Planck Institut für Softwaresysteme (Standort Kaiserslautern)• Max-Planck-Campus Golm

EDUROAM: Die TechnikEDUROAM: Die Technik

• Ein RADIUS-Server Verbund garantiert die Authentifizierung der Benutzer in deren Heimatinstitution

• Jede teilnehmende Institution betreibt einen RADIUS Server zur Authentifizierung seiner Benutzer, welcher im DFN Radius-

Verbund integriert sein muss

• Lokale Benutzerdatenbank: Meist „steckt“ hinter dem RADIUS Server eine lokale Benutzerdatenbank (LDAP, AD, NIS, Datenbank etc.)

• Die lokale WiFi Infrastruktur muss WPA (besser WPA2) beherrschen

• Identifikation (Routing) durch Angabe des realm im Username:(user@mpibpc.mpg.de)

Benutzer: user@uni-goettingen.de

EDUROAM: EDUROAM: Wege der Wege der AuthentifizierungAuthentifizierung

TU BerlinRADIUS-Server

Internet

GWDGRADIUS-Server

DFNRADIUS-Server

Universität Göttingen TU Berlin

Benutzer: user@tu-berlin.de

Accesspoint Accesspoint

6

1

2

3

45

7SSID: eduroam SSID: eduroam

Benutzer: user@uni-goettingen.de

Der Benutzer gibt seinen Benutzernamen sowie sein Passwort ein: user@tu-berlin.de. Benutzername und Passwort werden vom Accesspoint (über einen WLAN-Controller) zum lokalen RADIUS-Server der GWDG geschickt.

1

Benutzer: user@uni-goettingen.de

Der lokale RADIUS-Server der GWDG erkennt aufgrund des eingegebenen realms (@tu-berlin.de) des Benutzernamens, dass es sich um einen ortsfremden Benutzer handelt und schickt die Anfrage an den zentralen RADIUS-Server des DFN weiter.

2

Benutzer: user@uni-goettingen.de

Der DFN-RADIUS-Server hat eine Tabelle aller am eduroam teilnehmenden Einrichtungen in Deutschland und verweist aufgrund des realms (@tu-berlin.de) im konkreten Fall an den RADIUS-Server der Heimatinstitution des Benutzers (TU Berlin).

3 Der RADIUS-Server der Heimatinstitution prüft die Gültigkeit des Benutzernamens/Passwortes und schickt das Ergebnis (richtig oder falsch) an den zentralen DFN RADIUS-Server zurück.

4 Der DFN-RADIUS-Server schickt das Ergebnis in seiner Funktion als Proxy an den RADIUS-Server der anfragenden Institution weiter.5 Der lokale GWDG-RADIUS-Server schickt das Ergebnis der

Überprüfung an den WLAN-Controller im GoeMobile weiter.6

Waren das eingegebene Passwort und der Benutzername korrekt, wird vom WLAN-Controller über den Accesspoint der Zugang für den ortsfremden Benutzer freigeschaltet und der Benutzer kann über eine verschlüsselte WLAN-Verbindung das Internet nutzen.

7

EDUROAM: Wege der AuthentifizierungEDUROAM: Wege der Authentifizierung

1

3

Der Benutzer gibt seinen Benutzernamen sowie sein Passwort ein: user@tu-berlin.de. Benutzername und Passwort werden vom Accesspoint (über einen WLAN-Controller) zum lokalen RADIUS-Server der GWDG geschickt.

Der lokale RADIUS-Server der GWDG erkennt aufgrund des eingegebenen realms (@tu-berlin.de) des Benutzernamens, dass es sich um einen ortsfremden Benutzer handelt und schickt die Anfrage an den zentralen RADIUS-Server des DFN weiter.

Der DFN-RADIUS-Server hat eine Tabelle aller am eduroam teilnehmenden Einrichtungen in Deutschland und verweist aufgrund des realms (@tu-berlin.de) im konkreten Fall an den RADIUS-Server der Heimatinstitution des Benutzers (TU Berlin).

Der RADIUS-Server der Heimatinstitution prüft die Gültigkeit des Benutzernamens/Passwortes und schickt das Ergebnis (richtig oder falsch) an den zentralen DFN RADIUS-Server zurück.

Der DFN-RADIUS-Server schickt das Ergebnis in seiner Funktion als Proxy an den RADIUS-Server der anfragenden Institution weiter.

Der lokale GWDG-RADIUS-Server schickt das Ergebnis der Überprüfung an den WLAN-Controller im GoeMobile weiter.

Waren das eingegebene Passwort und der Benutzername korrekt, wird vom WLAN-Controller über den Accesspoint der Zugang für den ortsfremden Benutzer freigeschaltet und der Benutzer kann über eine verschlüsselte WLAN-Verbindung das Internet nutzen.

2

4

5

6

7

EDUROAM: Anbindung diverser AuthentifizierungsquellenEDUROAM: Anbindung diverser Authentifizierungsquellen

Internet

GWDG-RADIUS-Serverradius1-edu.gwdg.de

Windows Active Directory realm: em.mpg.de

LDAPrealms: gwdg.de

uni-goettingen.de

LDAPrealm: stud.uni-goettingen.de

GWDG-RADIUS-Serverradius2-edu.gwdg.de

user@gwdg.de

user@uni-goettingen.de

user@stud.uni-goettingen.de

user@mpibpc.mpg.de

user@em.mpg.de

RADIUS-Server(Fremde Einrichtung)

RADIUS-ServerDFN

1

2

3

4

5

1

2

3

5

3*

4

2*

1*

Windows Active Directory realm: stud.uni-goettingen.de

Windows Active Directory realm: mbpc.mpg.de

Windows Active Directory realm: uni-goettingen.de

Windows Active Directory realm: gwdg.de

Fremde Einrichtung außerhalb von Göttingen

GWDG, Universität Göttingen

Benutzergruppen:

*: bei Passwortverschlüsselung „crypt“ oder „plaintext“

Stand: 6/2010,GWDG, Andreas Ißleiber

EDUROAM: Gäste im eigenen Netz EDUROAM: Gäste im eigenen Netz

Accesspoint

Lokaler Benutzer: user@uni-goettingen.deoder Benutzer einer fremden Einrichtung am Bsp.: user@rwth-aachen.de

EAP-Client

verschlüsselte Verbindung über FunkSicherheitstyp: WPA2-Enterprise

Verschlüsselung: AES o.TKIP

GoeMobileWLAN-Controller

Internet

GWDGeduroamRADIUS-Server (z.B. freeradius)

GÖNET

UnverschlüsselteVerbindungins Internet

SSID: eduroam mit WPA o. WPA2 Verschlüsselung

Authentifizierung

(T)TLS, PEAP, …

Authentifizierung in 2 Phasen:1.) Äußere Identität (anonymous@gwdg.de)2.) Innere Identität (username)

EDUROAM: ClientsEDUROAM: Clients

11

• Zusätzliche Software: SecureW2 (EAP Client)

• Besser: Im OS integrierte EAP-Clients- Windows XP,Vista,7,2008 (auch 64Bit)- LINUX (diverse)- Apple OS (Snow Leopard)

• Smartphones: - Apple iPhone/pod/pad- Windows mobile (PDA)- Palm- Android OS

• Hilfe zur Clientinstallation http://www.gwdg.de/index.php?id=2195

EDUROAM: Aufbau bei der GWDG, DetailsEDUROAM: Aufbau bei der GWDG, Details

12

• FreeRadius Server (redundant) in VMWARE virtualisiert

• Monitoring mit CACTI (externer Zugang auch für MPIs)

• Anbindung an weitere Authentifizierungsdatenbanken (LDAP und AD: abhängig v.d. Passwortverschlüsselung)

• MySQL Datenbank für Logging und Statistiken

EDUROAM: Anbindung der MPIsEDUROAM: Anbindung der MPIsDiverse Varianten:

1.) Eigeninitiative im Institut:

- Autonomer Aufbau eines eigenen RADIUS Server- Anbindung an Userdatabase- Anbindung zum DFN

2.) Anbindung am RADIUS Server der GWDG:

- kein zus. Aufwand im Institut- Nutzung der redundanten Infrastruktur der GWDG

- keine Einarbeitung in die teilweise recht komplexe Thematik - Anbindung an DFN Verbund bereits erfolgt

- gültige Server-Zertifikate

- Monitoring

3.) Virtualisierter (eigener) RADIUS Server bei der GWDG:

- Nutzung eines RADIUS Server Templates bzgl. EDUROAM

- vollständige, eigene Kontrolle des Systems

13

14

EDUROAM: Nutzung der Dienste über die GWDGEDUROAM: Nutzung der Dienste über die GWDG

Internet

GWDG-RADIUS-Serverradius1-edu.gwdg.de

GWDG-RADIUS-Serverradius2-edu.gwdg.de

RADIUS-ServerDFN

Instituts User Datenbank• LDAP(s)• Active Directory• NIS• Datenbank

Max-Planck-Institut für xxxGWDG

Accesspoint:SSID: eduroam mit EAP und WPA(2)

Realm: user@xxx.mpg..de ggf. WLAN Controller

Kommunikation verschlüsselt

LDAPsSSL/SSH

VPN

Was wird auf Seiten des MPI benötigt:

WLAN-Struktur mit WPA(2) Möglichkeit zur Aussendung mehrerer SSIDs Angabe eines Authentifizierungsserver pro SSID (RADIUS) Benutzerdatenbank: LDAP, AD, NIS Mut

Vorteil: Möglichkeit, ggf. das FunkLAN umgebender Institutionen zu nutzen (Universitäten)

15

EDUROAM: Nutzung der Dienste über die GWDGEDUROAM: Nutzung der Dienste über die GWDG

16

amu.edu.planu.edu.aucharite.decms.hu-berlin.dedesy.defh-friedberg.defh-kiel.defu-berlin.degwdg.degwdg.de141.22.59.41gwdg.de141.23.34.111hawk-hhg.dehro.nlhs-wismar.dehva.nlijs.sikclad.ds.kcl.ac.ukkent.ac.ukkit.eduleidenuniv.nllmu.demaths.qmul.ac.ukmytum.deox.ac.ukruhr-uni-bochum.derwth-aachen.de

unibe.chuni-bielefeld.deuni-due.deuni-duisburg-essen.deuni-giessen.deuni-goettingen.deuni-hamburg.deuni-hannover.deuni-hildesheim.deuni-leipzig.deunimaas.nluni-mainz.deuni-muenster.deuni-osnabrueck.deuni-paderborn.deuni-siegen.deuni-tuebingen.deunivie.ac.atuni-wuerzburg.deupol.czutwente.nluva.nlwin.tu-berlin.dewu.ac.atwu-wien.ac.atzedat.fu-berlin.de

soas.ac.uksoton.ac.ukst.amu.edu.plst-andrews.ac.ukstudent.fe.uc.ptstudent.fh-kiel.destudent.kit.edustudent.rug.nlstudents.uni-marburg.destud.uni-goettingen.destud.uni-stuttgart.desussex.ac.ukswansea.ac.uktu-berlin.detu-bs.detu-chemnitz.detu-darmstadt.detudelft.nltu-dortmund.detu-dresden.detu-ilmenau.detum.deua.esua.ptu-bordeaux2.frunet.univie.ac.at

EDUROAM: Nutzerstatistiken in GöttingenEDUROAM: Nutzerstatistiken in Göttingen

Anonymisierte Logins fremder Nutzer(in) in Göttingen (letzten 6 Wochen)

EDUROAM: Nutzerstatistiken in GöttingenEDUROAM: Nutzerstatistiken in Göttingen

17

Summe: Göttinger Benutzer in Fremdeinrichtungen

Gäste in Göttingen aus Fremdeinrichtungen

Summe: Göttinger Benutzer/inLokal im Eduroam

Göttinger Benutzer in Fremdeinrichtungen

Summe: Gäste in Göttingen aus Fremdeinrichtungen

Göttinger Benutzer lokal (Wochen)

Jahr Woche

18

CISCOSYSTEMSCISCOYSTEMSS

CISCOSYSTEMSUPPERPOWERLOWERPOWERNORMAL… Fragen… Fragen

Vielen Dank!Vielen Dank!

und Diskussionen!und Diskussionen!

Vortrag ist unter: …http://www.gwdg.de/~aisslei/

… zu finden

??