Apie eduroam Vartotojams Organizacijoms For Guest Users

Informacija organizacijoms

Šis dokumentas yra skirtas Lietuvos akademinėms organizacijoms, pageidaujančioms prisijungti prie eduroam paslaugos.
Norint dalyvauti Eduroam projekte, reikia įvykdyti nurodytus prisijungimo procedūros punktus.

Prisijungimo prie eduroam procedūra:

  1. Patenkinti keliamus reikalavimus
  2. Pranešti apie pageidavimą prisijungti
  3. Pateikti reikalingus duomenis
  4. Patikrinti veikimą

  1. Techniniai reikalavimai

    2. Organizacijos, norinčios prisijungti prie eduroam paslaugos, turi patenkinti šiuos reikalavimus:

    • sukonfigūruotas RADIUS serveris (konfigūravimo rekomendacijos)
    • reikalavimai prieigos taškui (access piont):
      • suderinamas su 802.11 b standartu
      • naudojamas "eduroam" SSID
      • naudojama IEEE 802.1X ir WPA/TKIP arba geresnė technologija
      • naudojama IEEE 802.1X EAP autentifikacija (išskyrus EAP-MD5)
    • autentifikacijos ir apskaitos užklausų registravimas:
      • autentifikacijos užklausos gavimo data ir laikas
      • RADIUS užklausos identifikatorius
      • autentifikacijos duomenų bazės grąžintas autentifikacijos rezultatas
      • autentifikacijos atmetimo arba nesėkmės priežastis
      • apskaitos būsenos reikšmė (Acct-Status-Type)
    • DHCP transakcijų registravimas:
      • data ir laikas, kada vartotojui buvo suteikti DHCP parametrai
      • vartotojo kompiuterio MAC adresas
      • vartotojo kompiuteriui suteiktas IP adresas
    • autentifikacijos bei DHCP registracijos duomenys turi būti saugomi ne mažiau kaip 6 mėnesius
    • sukurta testinio vartotojo paskyra:
      • pasiekiama iš LITNET valdymo centro
      • naudojama ryšio išbandymui, stebėjimui, palaikymui ir klaidų aptikimui
      • neturinti prieigos prie autorizuotiems vartotojams skirtų paslaugų
    • vartotojams turi būti prieinamos šios paslaugos:
      • Standartinis IPSec VPN:
        • 50 (ESP) ir 51 (AH) IP priėmimas ir išsiuntimas
        • UDP/500 (IKE) tik išsiuntimas
      • OpenVPN 2.0: UDP/1194
      • IPv6 tuneliavimo paslauga: 41 IP priėmimas ir išsiuntimas
      • IPsec NAT-T UDP/4500
      • Cisco IPSec VPN per TCP: TCP/10000 tik išsiuntimas
      • PPTP VPN:
        • 47 (GRE) IP priėmimas ir siuntimas;
        • TCP/1723 tik išsiuntimas
      • SSH: TCP/22 tik išsiuntimas
      • HTTP: TCP/80 tik išsiuntimas
      • HTTPS: TCP/443 tik išsiuntimas
      • IMAP2+4: TCP/143 tik išsiuntimas
      • IMAP3: TCP/220 tik išsiuntimas
      • IMAPS: TCP/993 tik išsiuntimas
      • POP: TCP/110 tik išsiuntimas
      • POP3S: TCP/995 tik išsiuntimas
      • Pasyvaus (S)FTP: TCP/21 tik išsiuntimas
      • SMTPS: TCP/465 tik išsiuntimas
      • SMTP naudojantį STARTTLS: TCP/587 tik išsiuntimas
      • RDP: TCP/3389 tik išsiuntimas
    • informacijos apie organizacijoje teikiamą eduroam paslaugą publikavimas tam skirtame organizacijos tinklalapio puslapyje. Būtina pateikti:
      • nuorodą į organizacijos tinklo priimtino naudojimo taisykles
      • eduroam prieigos zonų sąrašą ar žemėlapį
      • informaciją apie eduroam SSID
      • informaciją apie autentifikacijos procedūrą ir autorizuotiems vartotojams siūlomas paslaugas
      • informaciją apie neskaidraus tarpinio serverio naudojimą (jei toks egzistuoja)
      • konfigūravimo instrukcijas vartotojui
      • nuorodą į www.eduroam.lt svetainę, eduroam logotipą ir prekės ženklo formuluotę
      • už eduroam paslaugą atsakingo techninės priežiūros personalo kontaktinius duomenis

    Į pradžią

  2. Pranešimas apie pageidavimą prisijungti

    3. Organizacijos, norinčios prisijungti prie eduroam paslaugos, turi kreiptis į eduroam paslaugą teikiančią organizaciją.
    LITNET kontaktiniai duomenys:

    Į pradžią

  3. Pateikiami duomenys

    4. Prisijungti pageidaujanti organizacija turi pateikti šiuos duomenis:

    • RADIUS serverio IP adresą (-us)
    • LITNET RADIUS serveriui priskirtą slaptažodį (secret) clients.conf faile
    • testinio vartotojo prisijungimo vardą bei slaptažodį

    Į pradžią

  4. Testavimas

    5. Patenkinus nurodytus reikalavimus ir pateikus reikalingus duomenis, turi būti atliekamas
    abipusis eduroam veikimo patikrinimas. Tuo tikslu eduroam paslaugą teikianti organizacija ir prisijungti pageidaujanti organizacija
    turi apsikeisti testinių vartotojų prisijungimo duomenimis.

    Pastaba: testiniai vartotojai yra skirti tik paslaugos veikimo patikrinimui.
    Realiems vartotojams turi būti suteikiami unikalūs prisijungimo vardai.

    Į pradžią

Esant būtinybei apsaugoti eduroam paslaugos vientisumą ir saugumą eduroam paslaugą teikianti organizacija gali uždrausti visiems tam tikro eduroam tapatybės teikėjo vartotojams naudotis tinklo resursais arba užblokuoti individualius vartotojus.
Kilus incidentams ar sutrikimams, LITNET valdymo centras turi teisę sustabdyti eduroam paslaugos teikimą arba apriboti eduroam prieigą prisijungusioms organizacijoms.

Rekomendacijos

Rekomenduojama naudoti:

  • RADIUS serverį
    • freeRADIUS - nemokamas
    • RADIATOR - mokamas, lengviau konfigūruojamas
    • Naudoti atsarginį (backup) RADIUS serverį
  • Prieigos tašką, turintį galimybę
    • registruoti vartotojų prisijungimą (log)
    • teikti kelis SSID vienu metu (multissid)
    • palaikyti 802.1X standartą

  • vartotojams turėtų būti sudarytas nuo kitų tinklo paslaugų atskirtas VLAN, nenaudojamas kitoms tinklo paslaugoms teikti

Daugiau informacijos apie vieningą autentifikacijos sistemą ir RADIUS serverio konfigūravimą rasite pateiktyje.

Iškilus neaiškumams, kreipkitės nurodytais adresais arba telefonu.

Į pradžią
eduroam yra TERENA užregistruotas pavadinimas