Estudo e implementação de uma infraestrutura eduroam

De MediaWiki do Campus São José
Ir para navegação Ir para pesquisar

Resumo

O intercâmbio de estudantes entre instituições de ensino tem se tornado frequente. A maioria das instituições possui uma infraestrutura de rede sem fio própria. Hoje, um aluno, professor ou funcionário de outra instituição (visitante) necessita criar uma conta local para ter acesso à infraestrutura de rede sem fio. Desta forma, propõe-se fazer um estudo de viabilidade e implementação de uma infraestrutura chamada "eduroam", na qual configura-se uma infraestrutura 802.1x associada a uma infraestrutura baseada em RADIUS para disponibilizar autenticação e acesso a rede "visitante" através das credenciais do usuário localizadas na instituição de origem. Ou seja, integrar a infraestrutura de rede sem fio do IFSC-SJ à uma federação que envolve várias instituições de ensino. Desta forma, uma pessoa que possui credenciais de acesso na sua instituição de origem poderá usá-las em qualquer outra instituição que faça parte do projeto, por exemplo em uma visita de cooperação. Essa proposta do Eduroam já existe em diversas universidades do mundo e está em processo de implantação em algumas instituições brasileiras.

Resumo extendido

Eduroam (education roaming) é um serviço que permite acesso sem fio seguro aos usuários (professores, alunos, pesquisadores) em qualquer instituição eduroam participante, permitindo acesso à internet dentro do campus do usuário ou em um campus visitado. Para que o usuário tenha acesso à rede, sua autenticação é realizada na sua instituição de origem, onde será utilizado um método de autenticação específico da instituição. A autorização exigida para permitir o acesso na rede local é transportada via internet pela rede visitada. Para garantir o serviço de roaming entre as instituições, o eduroam utiliza os conceitos de confederações, federações e instituições organizadas de forma hierárquicas sobre a infraestrutura de servidores RADIUS (Remote Authetication Dial In User Service). O serviço de roaming da confederação é estruturado sobre servidores de roaming nacionais, mantidos por NRENs (National Research and Education Networks), como a RNP.

Tipicamente, cada instituição possui um servidor RADIUS conectado a uma base de dados LDAP (Lightweight Directory Access Protocol) de usuários locais. Esse servidor RADIUS da instituição (servidor institucional) é conectado a um servidor RADIUS nacional (servidor da federação) que é conectado ao servidor RADIUS de nível mais alto (servidor da confederação). No nível mais alto, está o nível de serviço de confederação, que fornece a infraestrutura necessária para garantir acesso a todos os membros participantes do serviço eduroam. A (Fig. 1) mostra a topologia hierárquica dos servidores RADIUS.

Figura1.png Figura 1 - Hierarquia de servidores RADIUS

Como os usuários têm seus nomes no formato “usuário@domínio” (onde domínio é o nome da instituição de domínio DNS, muitas vezes da forma “instituição.br”, onde “.br” é o código do país de domínio de nível superior), os servidores RADIUS podem usar essas informações para encaminhar o pedido através da hierarquia até a instituição de origem.

A comunicação entre o switch ou access point da instituição visitada, também chamada de Provedor de Serviço até sua instituição de origem, também chamada de Provedor de Identificação é baseada no padrão IEEE 802.1X. O 802.1X engloba o uso do EAP (Extensible Authentication Protocol), que permite diferentes métodos de autenticação. Dependendo do tipo do método EAP utilizado, um túnel seguro (método utilizado no EAP-TTLS ou PEAP) será estabelecido do computador do usuário para o Provedor de Identidade, por onde suas informações de autenticação (login/senha) deverão passar. Ou através de certificados X.509 (EAP-TLS).

A hierarquia RADIUS transporta o nome do usuário em texto visível e também a senha EAP criptografada. Após a confirmação da autorização o usuário será colocado em uma VLAN específica. A VLAN que o usuário irá ocupar vai depender das opções de configuração que o servidor RADIUS envia ao NAS (Network Access Server). Essas opções de configuração são pares de atributo-valor, usadas como diretivas de configuração para o NAS. Isto faz com que o RADIUS em conjunto com IEEE 802.1X possam decidir em qual VLANs cada usuário deverá ocupar, sendo que cada VLAN possui diferentes permissões e podem oferecer diferentes serviços, como por exemplo, fax, impressoras, etc.

No Brasil, o projeto eduroam-br conta com o apoio de algumas instituições tendo como objetivo implementar um piloto do serviço eduroam nas universidades brasileiras. A primeira parte deste projeto implantou o eduroam em seis universidades, sua topologia está ilustrada na (Fig. 2). A segunda parte do projeto objetiva a comunicação mais segura entre servidores além de organizar o acesso com vlans e melhorar a documentação sobre o eduroam.

Figura2.jpg Figura 2 - Topologia dos servidores eduroam-br - Fase 1

Cronograma das atividades

Na tabela abaixo está o cronograma das atividades que serão realizadas, onde “app“ é a apresentação do pré projeto, ”ese” é o estudo do sistema eduroam.

Semana 1 Semana 2 Semana 3 Semana 4
Maio ese ese ese ese
Junho ese ese ese ese
Julho app

Referências

MILINOVIÉ, M. et al. Deliverable DS5.1.1: eduroam Service Definition and Implementation Plan. 2008. http://www.eduroam.org/downloads/docs/GN2-07-327v2-DS5_1_1-_eduroam_Service_Definition.pdf.

Disponível em “https://wiki.sj.ifsc.edu.br/index.php?title=Estudo_e_implementação_de_uma_infraestrutura_eduroam&oldid=42684