Асоціація УРАН

eduroam -
Wi-Fi роумінг для користувачів національних науково-освітніх мереж

"Відкрийте ваш ноутбук і будьте онлайн!"

eduroam (education roaming, освітній роумінг) - це захищений доступ до мережі Wi-Fi, який розроблений для міжнародної науково-освітньої спільноти та доступний по всьому світу. Технічно це федеративна служба автентифікації, яка дозволяє користувачам з установ, що беруть участь у федерації, отримувати безпечний доступ до Wi-Fi мережі, використовуючи свої стандартні логін/пароль, так само, як вони це роблять для отримання бездротового доступу в своєму «домашньому» закладі. Після початкової конфігурації мобільного пристрою eduroam може дозволити користувачеві доступ без необхідності вводити якісь додаткові дані, а просто відкривши свій ноутбук або активувавши мобільний пристрій, і якщо його Wi-Fi адаптер включений, він буде підключатися до eduroam, автентифікуватися і авторизувати доступ до мережі.

Для підтримки впровадження eduroam університету-користувачу мережі УРАН за його запитом можуть бути надані WiFi точки доступу Mikrotik cAP ac. Обладнання передається без додаткової оплати в тимчасове використання на період дії договору.

Іншим університетам точки доступу можуть надаватися при укладанні договору про підключення до пакету сервісів мережі УРАН.

Див. інструкцію по впровадженню eduroam в науково-освітній установі на базі WiFi точок доступу Mikrotik

Хот-споти eduroam можна знайти по всьому світу. Див. карту покриття eduroam із зазначенням точних місць їх розташування.

eduroam є прикладом федерації посвідчення, членами якої є національні науково-освітні телекомунікаційні мережі (NREN) і підключені до них заклади (університети, школи, бібліотеки, науково-дослідні центри тощо). Це означає, що всі ці установи взаємно довіряють один одному: якщо користувач має діючий акаунт в одній з установ, йому буде дозволений доступ до мережі у всіх інших установах федерації посвідчення.

eduroam в Європі забезпечується в кожній країні відповідною національною науково-освітньою мережею (NREN); в Україні це УРАН.

Переваги, яких набуває установа, та підвищення продуктивності праці персоналу служби підтримки ІТ

З eduroam кампус установи стає більш привабливим як місце для проведення зустрічей і конференцій, оскільки це дозволяє всім учасникам отримати доступ до мережі без сторонньої допомоги..

Вартість впровадження і підтримки eduroam є незначною, в той же час її результатом є суттєве зниження робочого навантаження ІТ-відділу, оскільки

  • eduroam забезпечує єдине технічне рішення для Wi-Fi зв'язку в установі, яке включає в себе підтримку:
    1. локальних користувачів, підключених до локальної мережі,
    2. відвідувачів, підключених до локальної мережі,
    3. локальних користувачів, підключених до мереж інших учасників.
       
  • eduroam усуває необхідність відкриття тимчасових акаунтів для відвідувачів, тим самим зменшуючи робоче навантаження ІТ-відділу внаслідок постійно зростаючого руху студентів і дослідників поміж установами і країнами.
Базові принципи eduroam

Є кілька принципів, які повинні враховуватись операторами і користувачами eduroam:

  1. Основною метою eduroam є забезпечення автоматичного доступу до мережі для користувачів наукових та освітніх установ, коли вони подорожують зі своєї «домашньої» установи в інші науково-освітні установи. Це досягається за рахунок розпровсюдження всіма установами єдиного ідентифікатору SSID для найменування Wi-Fi мережі, "eduroam", який налаштований в бездротовій інфраструктурі установи для запуску віддаленої автентифікації відвідувачів і локальної автентифікації власних користувачів даної установи (протокол, що використовується - IEEE 802.1x). Користувачі налаштовують свої мобільні пристрої для автоматичного підключення до мережі з SSID "eduroam" і зазначають свій логін в eduroam як <institutional_username>@<institutional_realm>. Компонент логіну <institutional_realm> використовується eduroam-інфраструктурою для маршрутизації запиту автентифікації в «домашній» заклад користувача.
     
  2. Облікові дані користувача зберігаються в таємниці при передачі між пристроєм користувача (де вводяться логін eduroam і пароль в «домашній» установі) і «домашнім» закладом користувача, завдяки використанню шифрованого тунелю між ними, щоб передати облікові дані користувача. Зашифрований тунель створюється між пристроєм користувача і «домашньою» установою як перший етапу віддаленої автентифікації eduroam. Другим етапом є власне автентифікація користувача через цей тунель.
     
  3. Є дві ролі, які мають установи, що беруть в участь в eduroam. Роль "Постачальника послуг" (Service Provider, SP) передбачає надання доступу до мережі установи користувачам з інших установ на підставі їх віддаленої автентифікації через eduroam-інфраструктуру. Роль "Постачальника посвідчень" (Identity Provider, IdP) передбачає віддалену автентифікацією установою своїх користувачів через eduroam-інфраструктуру.
     
  4. Роль eduroam SP, тобто надання доступу відвідувачам до мережі, спирається на існуючу мережеву інфраструктуру установи. Як правило, доступ до мережі "eduroam" розуміється як Wi-Fi доступ до мережі. Установи можуть також використовувати eduroam для забезпечення доступу відвідувачам до дротової мережі, проте це порівняно нетипово. Необхідною умовою для участі в eduroam є те, що установи-SP мають повністю працездатну Wi-Fi мережеву інфраструктуру.
     
  5. Для того, щоб eduroam забезпечував «автоматичний доступ до мережі», користувачі повинні налаштувати свої пристрої для автоматичного підключення до мережі з SSID "eduroam". Це має два аспекти. По-перше, підключення по Wi-Fi мережі до хот-спотів у відвідуваних установах. Використовується бездротове шифрування "WPA2-Enterprise" (IEEE 802.1x + CCMP / AES) - згідно з глобальною політикою eduroam це повинно підтримуватись установами. Другим аспектом з'єднання є віддалена автентифікація «домашнім» закладом користувача. Автентифікація використовує захищений тунель для захисту облікових даних від розкриття, а двома протоколами, що переважно використовуються, є PEAP / MSCHAPv2 або TTLS / PAP. Протокол автентифікації є специфічним для кожної конкретної «домашньої» установи.
     
  6. Оскільки конфігурація автентифікації є специфічною для для кожної конкретної «домашньої» установи, нагально рекомендується, щоб користувачі налаштували своє підключення до eduroam, перебуваючи на території своєї «домашньої» установи. Якщо трапляться проблеми, зверніться за допомогою до локальної служби підтримки ІТ. Якщо ви будете чекати самої подорожі, щоб налаштувати підключення до eduroam, ваша локальна служба підтримки, можливо, буде не в змозі вам допомогти внаслідок особливостей налаштування у відвідуваній установі, які, зазвичай, є поза межами видимості персоналу служби підтримки «домашньої» установи.
eduroam managed IdP - технічне рішення для невеликих закладів

Розгортання повнофункціонального сервісу eduroam вимагає від органцізації здійснити ряд технічних і організаційних заходів, що потребують додаткових фінансових, людських та часових ресурсів:

  1. впровадити певний набор програмно-апаратних засобів, зокрема, розгорнути програмний сервер (RADIUS-сервер), який буде здійснювати авторизацію. На придбання сервера потрібні додаткові кошти, а налаштування програмного забезпеченняі потребує додаткового навчання технічного персоналу спеціальним знанням та навичкам;
     
  2. в подальшому вести базу даних користувачів, прописуючи їхні паролі та логіни. Це потребує додаткових витрат робочого часу IT-спеціалістів.

Для невеликих науково-освітніх закладів, де кількість користувачів становить кілька десятків, це складає проблему, часто непереборну.

Щоб полегшити підключення до eduroam невеликих організацій GÉANT розробив сервіс eduroam managed IdP. Це веб-портал, що містить сторінку доступу для невеликого закладу. На цій сторінці представник закладу сам вводить дані про свою організацію і починає створювати базу даних своїх користувачів, а ті вже самі авторизуються в системі eduroam. Єдине обмеження – не більше 200 користувачів на установу. При цьому немає потреби купувати та налаштовувати RADIUS-сервер.

Точок доступу eduroam в даному закладі не буде, але його співробітники зможуть користуватися eduroam всюди, де такі точки доступу вже є.

Якщо ж заклад з часом вирішить встановити точку доступу у себе, то Асоціація УРАН може підключити його до свого RADIUS-серверу, і тоді цей заклад зможе і у себе авторизувати eduroam-користувачів.

Для консультацій звертайтесь до технічного відділу УРАН за електронною адресою

Детальніше див. eduroam.uran.ua та www.eduroam.org.