UMGUM.COM 

Eduroam ( Развёртываем сервис аутентификации пользователей в международной системе "Eduroam". )

2 августа 2019  (обновлено 12 сентября 2019)

Задача: развернуть сервис аутентификации пользователей (посредством инфраструктуры беспроводного WiFi-доступа) в международной системе "Eduroam", совместив таковую с аутентификацией пользователей локального сегмента в централизованном хранилище аккаунтов LDAP.


Обобщённые этапы реализации поставленной задачи развёртывания сегмента сети "Eduroam":

1. Подготовка системного окружения и установка сопутствующего ПО.
2. Установка и предварительная настройка сервера аутентификации "Freeradius".
3. Настройка связи контроллеров точек доступа или непосредственно таковых с сервисом "Freeradius".
4. Настройка проксирования вышестоящим серверам "Eduroam" запросов сторонних пользователей.
5. Настройка аутентификации локальных пользователей с данными аккаунтов хранимых в LDAP.


Для справки, "Eduroam" - это международный сервис маршрутизации запросов аутентификации и предоставления доступа в интернет для фигурантов сферы научно-исследовательской деятельности, высшего или дополнительного профессионального образования (на практике эта сеть развёртывается и в продвинутых школах, и в прогрессивных общественных библиотеках, и даже в некоторых европейских государственных учреждениях). Посредством сетей "Eduroam" научные работники, преподаватели и учащиеся единым для любого места пребывания способом могут получить неограниченный доступ в интернет. Аутентификация пользователей в любом сегменте "Eduroam" проводится их родными организациями с использованием тех же учётных данных (аккаунтов) и методов, что и при локальной аутентификации при нахождении в сети таковой, тогда как организация доступа к интернету лежит на посещаемом учреждении. За пользование сервисом "Eduroam" плата не взымается - это один из краеугольных камней концепции.

Упрощённо логика работы в "Eduroam" выстраивается примерно следующим образом, на примере фигурантов НГУ "nsu.ru" (Новосибирск, РФ) и стороннего научного учреждения ЦЕРН "cern.ch" (Женева, Швейцария):

1. Всем преподавателям и студентам НГУ при трудоустройстве или поступлении на обучение автоматически создаются аккаунты для доступа к университетским сетевым ресурсам - профили сохраняются в централизованном сервисе LDAP - эта операция регламентирована и не требует от участников процесса никаких экстраординарных действий вроде написания заявлений и хождения по инстанциям.
2. Любой преподаватель или студент НГУ может подключится к локальной беспроводной (WiFi) сети (с унифицированным именем "eduroam") с доступом в интернет в зданиях университета, будучи при этом аутентифицирован самым коротким путём: "клиентское устройство" -> "сервер аутентификации НГУ" -> "сервис LDAP НГУ".
3. Любой преподаватель или студент НГУ пребывая в ЦЕРН может включится в интернет посредством WiFi-сети "eduroam", будучи при этом аутентифицирован в НГУ через цепочку промежуточных узлов: "клиентское устройство" -> "сервер аутентификации ЦЕРН" -> "сервер аутентификации европейского сегмента" -> "сервер аутентификации российского сегмента" -> "сервер аутентификации НГУ" -> "LDAP НГУ".
4. Любой сотрудник или учёный ЦЕРН пребывая в НГУ может включиться в интернет через местную WiFi-сеть "eduroam", будучи при этом аутентифицирован в родном ЦЕРН через цепочку промежуточных узлов: "клиентское устройство" -> "сервер аутентификации НГУ" -> "сервер аутентификации российского сегмента" -> "сервер аутентификации европейского сегмента" -> "сервер аутентификации ЦЕРН" -> "сервис хранилища аккаунтов ЦЕРН".

Вышеописанный регламент реализуется протоколами, описываемыми в IEEE-стандарте "802.1x". В нём определены механизмы аутентификации и авторизации пользователя на этапе подключения к сетевой среде передачи данных, ещё до предоставления доступа к таковой. Иными словами, в случае использования аутентификации посредством "802.1x" в сети нельзя сделать ничего, пока от контролирующего проводной порт или беспроводную точку доступа сервиса не придёт подтверждение, что подключающийся успешно аутентифицирован предъявлением действующего логина и пароля, или сертификата подлинности. Работа сервисов непосредственно осуществляющих аутентификацию и авторизацию тоже стандартизирована, и наибольшее распространение получили два протокола: RADIUS и TACACS. В инфраструктуре "Eduroam" применяется RADIUS.

На данный момент для подключения к беспроводной WiFi-сети широко применяются три технологии, с расширениями вроде "802.1x":

1. "open" - доступ открыт всем, шифрования нет, аутентификация не применяется.
2. WPA/WPA2-PSK - служебный трафик шифруются (TKIP/AES), а доступ в сеть предоставляется по предъявлению известного контроллеру секретного ключа.
3. WPA/WPA2-EAP - служебный трафик шифруются (TKIP/AES), а доступ в сеть разрешается после успешной аутентификации на внешнем сервисе RADIUS или TACACS.

Ещё можно встретить в эксплуатации старый и давно взломанный протокол WEP - разумеется, его применять нельзя. Также не рекомендуется использование комбинации "WPA + TKIP" - он тоже поддаётся компрометации. Организация доступа по "секретным ключам" с помощью WPA2-PSK весьма негибка.

Очевидно, что единственный из широко распространённых вариант организации доступа к беспроводной WiFi-сети уровня предприятия - "WPA2-EAP + AES". В этой технологии функция разрешения доступа реализована через протокол EAP (Extensible Authentication Protocol), который является каркасом для инкапсуляции методов аутентификации и авторизации. Протокол простой и не требует от терминирующего устройства (проводного коммутатора или беспроводной точки доступа) поддержания каких либо специфичных методов аутентификации - оно лишь передаёт EAP-запросы между клиентом и внешним сервисом аутентификации.

Методов аутентификации немало. Но на практике, с учётом того, что запросы содержащие логины и пароли пользователей в некоторых случаях могут передаваться по цепочке неподконтрольных серверов в разных странах и юрисдикциях пригодными для применения в "Eduroam" следует признать только два метода: EAP-TTLS и EAP-PEAP. Они перед процедурой непосредственной аутентификации пользователя образуют TLS-туннель между клиентом и сервером аутентификации. Только после этого, уже внутри TLS-туннеля осуществляется сама аутентификация, с использованием как современных EAP (LEAP, MD5, TLS, SecureID), так и старых не-EAP методов (PAP, CHAP, MS-CHAP, MS-CHAPv2). Предварительное туннелирование обеспечивает высокий уровень сохранности данных учётной записи пользователя, защищая от компрометации способами "man-in-middle", "session hihacking" или подбором пароля на основе полученного "хеша". Кроме того, так как транзитным серверам аутентификации (в данном случае RADIUS) доступно лишь перенаправление запросов в TLS-туннеле без возможности чтения их содержимого, никакой промежуточный сер­вер аутентификации в иерархии "Eduroam" не получит доступа к конфиденциальной информации о пароле и даже об имени пользователя, если последний захочет его скрыть.

Переход к подготовке системного окружения и установке сопутствующего ПО.


Заметки и комментарии к публикации:


Оставьте свой комментарий ( выразите мнение относительно публикации, поделитесь дополнительными сведениями или укажите на ошибку )