Mudanças entre as edições de "Estudo e implementação de uma infraestrutura eduroam"
| (3 revisões intermediárias pelo mesmo usuário não estão sendo mostradas) | |||
| Linha 1: | Linha 1: | ||
==Resumo== | ==Resumo== | ||
| − | O intercâmbio de estudantes entre instituições de ensino tem se tornado frequente. | + | O intercâmbio de estudantes entre instituições de ensino tem se tornado frequente. A maioria das instituições possui uma infraestrutura de rede sem fio própria. Hoje, um aluno, professor ou funcionário de outra instituição (visitante) necessita criar uma conta local para ter acesso à infraestrutura de rede sem fio. Desta forma, propõe-se fazer um estudo de viabilidade e implementação de uma infraestrutura chamada "eduroam", na qual configura-se uma infraestrutura 802.1x associada a uma infraestrutura baseada em RADIUS para disponibilizar autenticação e acesso a rede "visitante" através das credenciais do usuário localizadas na instituição de origem. Ou seja, integrar a infraestrutura de rede sem fio do IFSC-SJ à uma federação que envolve várias instituições de ensino. Desta forma, uma pessoa que possui credenciais de acesso na sua instituição de origem poderá usá-las em qualquer outra instituição que faça parte do projeto, por exemplo em uma visita de cooperação. Essa proposta do Eduroam já existe em diversas universidades do mundo e está em processo de implantação em algumas instituições brasileiras. |
==Resumo extendido== | ==Resumo extendido== | ||
| − | + | Eduroam (education roaming) é um serviço que permite acesso sem fio seguro aos usuários (professores, alunos, pesquisadores) em qualquer instituição eduroam participante, permitindo acesso à internet dentro do campus do usuário ou em um campus visitado. Para que o usuário tenha acesso à rede, sua autenticação é realizada na sua instituição de | |
| + | origem, onde será utilizado um método de autenticação específico da instituição. A autorização exigida para permitir o acesso na rede local é transportada via internet pela rede visitada. Para garantir o serviço de roaming entre as instituições, o eduroam utiliza os conceitos de confederações, federações e instituições organizadas de forma hierárquicas sobre a infraestrutura de servidores RADIUS (Remote Authetication Dial In User Service). O serviço de roaming da confederação é estruturado sobre servidores de roaming nacionais, mantidos por NRENs (National Research and Education Networks), como a RNP. | ||
| − | RADIUS é um | + | Tipicamente, cada instituição possui um servidor RADIUS conectado a uma base de dados LDAP (Lightweight Directory Access Protocol) de usuários locais. Esse servidor RADIUS da instituição (servidor institucional) é conectado a um servidor RADIUS nacional (servidor da federação) que é conectado ao servidor RADIUS de nível mais alto (servidor da confederação). No nível mais alto, está o nível de serviço de confederação, que fornece a infraestrutura necessária para garantir acesso a todos os membros participantes do serviço eduroam. A (Fig. 1) mostra a topologia hierárquica dos servidores RADIUS. |
| + | |||
| + | [[Arquivo:Figura1.png]] | ||
| + | Figura 1 - Hierarquia de servidores RADIUS | ||
| + | |||
| + | Como os usuários têm seus nomes no formato “usuário@domínio” (onde domínio é o nome da instituição de domínio DNS, muitas vezes da forma “instituição.br”, onde “.br” é o código do país de domínio de nível superior), os servidores RADIUS podem usar essas informações para encaminhar o pedido através da hierarquia até a instituição de origem. | ||
| + | |||
| + | A comunicação entre o switch ou access point da instituição visitada, também chamada de Provedor de Serviço até sua instituição de origem, também chamada de Provedor de Identificação é baseada no padrão IEEE 802.1X. O 802.1X engloba o uso do EAP (Extensible Authentication Protocol), que permite diferentes métodos de autenticação. Dependendo do tipo do método EAP utilizado, um túnel seguro (método utilizado no EAP-TTLS ou PEAP) será estabelecido do computador do usuário para o Provedor de Identidade, por onde suas informações de autenticação (login/senha) deverão passar. Ou através de certificados X.509 (EAP-TLS). | ||
| + | |||
| + | A hierarquia RADIUS transporta o nome do usuário em texto visível e também a senha EAP criptografada. Após a confirmação da autorização o usuário será colocado em uma VLAN específica. A VLAN que o usuário irá ocupar vai depender das opções de configuração que o servidor RADIUS envia ao NAS (Network Access Server). Essas opções de configuração são pares de atributo-valor, usadas como diretivas de configuração para o NAS. Isto faz com que o RADIUS em conjunto com IEEE 802.1X possam decidir em qual VLANs cada usuário deverá ocupar, sendo que cada VLAN possui diferentes permissões e podem oferecer diferentes serviços, como por exemplo, fax, impressoras, etc. | ||
| + | |||
| + | No Brasil, o projeto eduroam-br conta com o apoio de algumas instituições tendo como objetivo implementar um piloto do serviço eduroam nas universidades brasileiras. A primeira parte deste projeto implantou o eduroam em seis universidades, sua topologia está ilustrada na (Fig. 2). A segunda parte do projeto objetiva a comunicação mais segura entre servidores além de organizar o acesso com vlans e melhorar a documentação sobre o eduroam. | ||
| + | |||
| + | [[Arquivo:Figura2.jpg]] | ||
| + | Figura 2 - Topologia dos servidores eduroam-br - Fase 1 | ||
| + | |||
| + | ==Cronograma das atividades== | ||
| + | |||
| + | Na tabela abaixo está o cronograma das atividades que serão realizadas, onde “app“ é a apresentação | ||
| + | do pré projeto, ”ese” é o estudo do sistema eduroam. | ||
| + | |||
| + | {| border="1" cellpadding="2" | ||
| + | ! | ||
| + | !Semana 1 | ||
| + | !Semana 2 | ||
| + | !Semana 3 | ||
| + | !Semana 4 | ||
| + | |- | ||
| + | |Maio || ese || ese || ese || ese | ||
| + | |- | ||
| + | |Junho || ese || ese || ese || ese | ||
| + | |- | ||
| + | |Julho || app || || || | ||
| + | |} | ||
| + | |||
| + | ==Referências== | ||
| + | |||
| + | MILINOVIÉ, M. et al. Deliverable DS5.1.1: eduroam Service Definition and Implementation Plan. 2008. http://www.eduroam.org/downloads/docs/GN2-07-327v2-DS5_1_1-_eduroam_Service_Definition.pdf. | ||
Edição atual tal como às 09h21min de 3 de maio de 2012
Resumo
O intercâmbio de estudantes entre instituições de ensino tem se tornado frequente. A maioria das instituições possui uma infraestrutura de rede sem fio própria. Hoje, um aluno, professor ou funcionário de outra instituição (visitante) necessita criar uma conta local para ter acesso à infraestrutura de rede sem fio. Desta forma, propõe-se fazer um estudo de viabilidade e implementação de uma infraestrutura chamada "eduroam", na qual configura-se uma infraestrutura 802.1x associada a uma infraestrutura baseada em RADIUS para disponibilizar autenticação e acesso a rede "visitante" através das credenciais do usuário localizadas na instituição de origem. Ou seja, integrar a infraestrutura de rede sem fio do IFSC-SJ à uma federação que envolve várias instituições de ensino. Desta forma, uma pessoa que possui credenciais de acesso na sua instituição de origem poderá usá-las em qualquer outra instituição que faça parte do projeto, por exemplo em uma visita de cooperação. Essa proposta do Eduroam já existe em diversas universidades do mundo e está em processo de implantação em algumas instituições brasileiras.
Resumo extendido
Eduroam (education roaming) é um serviço que permite acesso sem fio seguro aos usuários (professores, alunos, pesquisadores) em qualquer instituição eduroam participante, permitindo acesso à internet dentro do campus do usuário ou em um campus visitado. Para que o usuário tenha acesso à rede, sua autenticação é realizada na sua instituição de origem, onde será utilizado um método de autenticação específico da instituição. A autorização exigida para permitir o acesso na rede local é transportada via internet pela rede visitada. Para garantir o serviço de roaming entre as instituições, o eduroam utiliza os conceitos de confederações, federações e instituições organizadas de forma hierárquicas sobre a infraestrutura de servidores RADIUS (Remote Authetication Dial In User Service). O serviço de roaming da confederação é estruturado sobre servidores de roaming nacionais, mantidos por NRENs (National Research and Education Networks), como a RNP.
Tipicamente, cada instituição possui um servidor RADIUS conectado a uma base de dados LDAP (Lightweight Directory Access Protocol) de usuários locais. Esse servidor RADIUS da instituição (servidor institucional) é conectado a um servidor RADIUS nacional (servidor da federação) que é conectado ao servidor RADIUS de nível mais alto (servidor da confederação). No nível mais alto, está o nível de serviço de confederação, que fornece a infraestrutura necessária para garantir acesso a todos os membros participantes do serviço eduroam. A (Fig. 1) mostra a topologia hierárquica dos servidores RADIUS.
Figura 1 - Hierarquia de servidores RADIUS
Como os usuários têm seus nomes no formato “usuário@domínio” (onde domínio é o nome da instituição de domínio DNS, muitas vezes da forma “instituição.br”, onde “.br” é o código do país de domínio de nível superior), os servidores RADIUS podem usar essas informações para encaminhar o pedido através da hierarquia até a instituição de origem.
A comunicação entre o switch ou access point da instituição visitada, também chamada de Provedor de Serviço até sua instituição de origem, também chamada de Provedor de Identificação é baseada no padrão IEEE 802.1X. O 802.1X engloba o uso do EAP (Extensible Authentication Protocol), que permite diferentes métodos de autenticação. Dependendo do tipo do método EAP utilizado, um túnel seguro (método utilizado no EAP-TTLS ou PEAP) será estabelecido do computador do usuário para o Provedor de Identidade, por onde suas informações de autenticação (login/senha) deverão passar. Ou através de certificados X.509 (EAP-TLS).
A hierarquia RADIUS transporta o nome do usuário em texto visível e também a senha EAP criptografada. Após a confirmação da autorização o usuário será colocado em uma VLAN específica. A VLAN que o usuário irá ocupar vai depender das opções de configuração que o servidor RADIUS envia ao NAS (Network Access Server). Essas opções de configuração são pares de atributo-valor, usadas como diretivas de configuração para o NAS. Isto faz com que o RADIUS em conjunto com IEEE 802.1X possam decidir em qual VLANs cada usuário deverá ocupar, sendo que cada VLAN possui diferentes permissões e podem oferecer diferentes serviços, como por exemplo, fax, impressoras, etc.
No Brasil, o projeto eduroam-br conta com o apoio de algumas instituições tendo como objetivo implementar um piloto do serviço eduroam nas universidades brasileiras. A primeira parte deste projeto implantou o eduroam em seis universidades, sua topologia está ilustrada na (Fig. 2). A segunda parte do projeto objetiva a comunicação mais segura entre servidores além de organizar o acesso com vlans e melhorar a documentação sobre o eduroam.
Figura 2 - Topologia dos servidores eduroam-br - Fase 1
Cronograma das atividades
Na tabela abaixo está o cronograma das atividades que serão realizadas, onde “app“ é a apresentação do pré projeto, ”ese” é o estudo do sistema eduroam.
| Semana 1 | Semana 2 | Semana 3 | Semana 4 | |
|---|---|---|---|---|
| Maio | ese | ese | ese | ese |
| Junho | ese | ese | ese | ese |
| Julho | app |
Referências
MILINOVIÉ, M. et al. Deliverable DS5.1.1: eduroam Service Definition and Implementation Plan. 2008. http://www.eduroam.org/downloads/docs/GN2-07-327v2-DS5_1_1-_eduroam_Service_Definition.pdf.