1. srečanje ArnesAAI in eduroam
1. srečanje članic federacij ArnesAAI in eduroam Avgust Jauk Arnes, p.p. 7, SI - 1001 Ljubljana jauk@arnes.si 8. 12. 2014 Namen srečanja • AAI in eduroam dozorevata • 10 let eduroam v SI (BIO v 2004) • 5 let ArnesAAI • Leta izkušenj -> (problemi) -> novosti • Tehnologija • Storitve Arnesa • Kreiranje skupnosti • Mailing lista • …? Federacije: zakaj že? • Množica storitev, povsod prijava • • • • Aplikacije Računalniki Omrežje Mobilnost -> potreba po gostovanju • Množica uporabniških imen • Težko jih je pridobiti • Gesla pozabljamo • Obremenitev helpdeska • Nejevolja uporabnikov Prijava – običajen način 1 Lastnik Vira 2 Uporabnik 3 Informacije o uporabniku 4 Vir 5 Prijava – običajen način (2) Informacije o uporabniku Vir A Uporabnik ID, ID, geslo, ...ID, geslo, ... geslo, ... Informacije o uporabniku Vir b Informacije o uporabniku Vir … Enotna prijava: v eni organizaciji Organizacija Vir A Registracija Baza z uporabniki Vir B Avtentikacija 2 1 Informacije o uporabniku (ime, naslov …) Uporabnik Vir … Željena rešitev? • Enotno uporabniško ime • NetID, AAI uporabniško ime/račun • Uporabno za storitve doma in po svetu • Tudi za priklop v omrežje • Dodeli ga „domača“ organizacija • Ponudnik identitete • Implementacija: federacije • Ponudniki identitet (LDAP, IdP) • Ponudniki storitev (SP) • Pravila, standardi, zaupanje (tehnično, pravno) Enotna prijava – v federaciji Lastnik Virov Organizacija 4 Registracija Baza z uporabniki Sistem za Avtentikacijo Dostava avtorizacijskih atributov Avtorizacija Avtorizacijski atributi AAI 1 3 Viri Avtorizacijska politika Sistem za avtorizacijo Avtentikacija 2 Informacije o uporabniku (ime, naslov …) Zahteva po dostopu Legenda: Sistem Uporabnik Podatki Interakcija AAI AAI za spletne storitve DS Od kod si? 4 3 5 8 6 Geslo/… Domača organizacija 1 2 7 Atributi Aplikacija •11 Mobilnost: WLAN Varno preverjanje istovetnosti Strežniki Radius Odjemalec 802.1x EAP-TTLS + PAP Mednarodna hierarhija strežnikov RADIUS za eduroam vrhnji RADIUS proxy strežnik Vrhnje posredovanje (.si, .de, .nl, .uk, ...) Nacionalni RADIUS proxy strežnik Posredovanje na nacionalnem nivoju Nacionalni RADIUS (organizacija-a.si, proxy strežnik organizacija-b.nl, …) RADIUS strežnik RADIUS strežnik RADIUS strežnik RADIUS strežnik organizacije A organizacije B organizacije C organizacije D Odločitev za eduroam WEB VPN 802.1x - potrebna posebna programska oprema + Standardna - -potrebna posebna programska oprema -potreben seznam VPN koncentrato r - Varnost + + - + - VPN kocentrator + Enostavna + uporaba s strani uporabnika Razširljivost + - Vpliv na + dolžino podatkovne prenosne poti Potrebna - Unix dodatna strežnik oprema + Vir: 18. Strokovni svet Arnesa, 15.12.2003 Eduroam – prijave pri gostovanju Eduroam – št. AP pri gostovanju Kako v federacijo? Portal Tiskalni strežniki Tok podatkov Poizvedbe Osebni računalniki Spletna učilnica Upravljanje s vsebinami Študentje / Vpis e-pošta Aktivni Imenik (AD) koledar Sistem za plače Vodenje identitet Alumni imenik e-študent LDAP Študentska izkaznica Knjižnični sistem VPN RADIUS Dial-up WLAN Kako v federacijo 2? Portal Tiskalni strežniki Tok podatkov Poizvedbe Osebni računalniki Spletna učilnica Upravljanje s vsebinami Študentje / Vpis e-pošta Aktivni Imenik (AD) koledar Sistem za plače Vodenje identitet Alumni imenik e-študent LDAP Študentska izkaznica Knjižnični sistem VPN RADIUS Dial-up Eduroam WLAN Kako v federacijo 3? Tiskalni strežniki Tok podatkov Poizvedbe Osebni računalniki Spletni AAI Portal Spletna učilnica Upravljanje s vsebinami Študentje / Vpis Sistem za plače Aktivni Imenik (AD) e-pošta ? Vodenje identitet Alumni imenik e-študent LDAP Študentska izkaznica koledar Knjižnični sistem VPN RADIUS Dial-up Eduroam WLAN Kako v federacijo 4? Tiskalni strežniki Tok podatkov Poizvedbe Osebni računalniki Spletni AAI Portal SP Spletna učilnica SP Upravljanje s vsebinami SP Študentje / Vpis Sistem za plače e-pošta Aktivni Imenik (AD) SP DS Vodenje identitet SP SP koledar imenik IdP Alumni SP LDAP Študentska izkaznica Knjižnični sistem VPN RADIUS Dial-up Eduroam WLAN e-študent Vodenje identitet - primitivno Tiskalni strežniki Tok podatkov Poizvedbe Osebni računalniki Spletni AAI Portal SP Spletna učilnica SP Upravljanje s vsebinami SP e-pošta Aktivni Imenik (AD) IT osebje SP DS Ročni procesi SP SP koledar imenik IdP SP LDAP Študentska izkaznica Knjižnični sistem VPN RADIUS Dial-up Eduroam WLAN e-študent Vodenje identitet - napredno Tiskalni strežniki Tok podatkov Poizvedbe Osebni računalniki Spletni AAI Portal SP Spletna učilnica SP Upravljanje s vsebinami SP Študentje / Vpis Sistem za plače e-pošta Aktivni Imenik (AD) SP DS IdM SP SP koledar imenik IdP Alumni SP LDAP Študentska izkaznica Knjižnični sistem VPN RADIUS Dial-up Eduroam WLAN e-študent Preveč kompleksno? Tiskalni strežniki Tok podatkov Poizvedbe Osebni računalniki Spletni AAI Portal SP Spletna učilnica SP Upravljanje s vsebinami SP Študentje / Vpis Sistem za plače e-pošta Aktivni Imenik (AD) SP DS IdM SP SP koledar imenik IdP Alumni SP LDAP Študentska izkaznica Knjižnični sistem VPN RADIUS Dial-up Eduroam WLAN e-študent Preveč kompleksno (2)? Tiskalni strežniki Tok podatkov Poizvedbe Osebni računalniki Spletni AAI Portal SP Spletna učilnica SP Upravljanje s vsebinami SP Študentje / Vpis Sistem za plače e-pošta Aktivni Imenik (AD) SP DS IdM SP SP koledar imenik IdP Alumni SP LDAP Študentska izkaznica Knjižnični sistem - gostovano na Arnesu VPN RADIUS Dial-up Eduroam WLAN e-študent Kaj torej dobite na Arnesu • Gostovanje gradnikov federacij • Eduroam: LDAP, RADIUS • ArnesAAI: IdP, DS, (SP+aplikacije) • IdM • Portal članic, modul AAI • Pridružitev federaciji • Naročanje in upravljanje gostovanja IdP, LDAP, IdM • Orodja • • • • Preverjanje IdP, gesel, … Pridobivanje certifikatov Konfiguriranje odjemalcev za eduroam … • Navodila za administratorje in uporabnike • Pomoč Nadaljevanje programa • AAI • AAI za uporabnike velika novost • Veliko dela na uporabniški izkušnji • Pohitritev postopka prijave ( > 10 x ) • Lažja izbira domače organizacije • Branding prijavne strani • • • • Pridružitev eduGAIN Orodje za preverjanje IdP Nove verzije IdP, SP, navodila „Portal članic“: upravljanje članstva Nadaljevanje programa • Kako polniti imenik • LDAP kot mačka • Kar nekaj orodij • WebIdM, LDAP Admin, Jxplorer • Pomanjkljiva funkcionalnost • Kompleksnost, nevarnost • IdM (SIO MdM) – rešitev problemov • Enostavnost, potrebna funkcionalnost • Tudi tiskanje obvestil o dodelitvi uporabniških imen • Prenos podatkov v OpenLDAP in AD Nadaljevanje programa • Eduroam (za uporabnike) • Problemi uporabnikov • konfiguriranje odjemalcev • Pomanjkljiva diagnostika • Rešitve • CAT: orodje za konfiguriranje odjemalcev • ArnesLink: Windows odjemalec, diagnostika! • Orodje za test pravilnosti gesla Nadaljevanje programa • Eduroam (za organizacije) • Konfiguracije • WLAN za goste brez eduroam računa • Redundantna postavitev eduroam • … • Nove verzije FreeRADIUS, LDAP • Orodje za delo s certifikati • Pridobivanje, preverjanje, … AAI/Eduroam ekipa • Rok Papež • Blaž Divjak • Marko Dolničar • Gregor Cimerman
© Copyright 2024