Eduroam在中国科学技术大学的部署
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
➢ 企业模式(Enterprise mode):
➢ 无线AP和无线终端设备使用EAP认证,后台往往有 radius协议的参与
➢ 无线终端可以使用用户名/密码认证 ➢ 无线终端也可以使用个人证书认证 ➢ 我国使用用户名密码较常见 ➢ 国外使用个人证书也很常用
802.1X认证/WEB认证
➢ 802.1X认证
➢ 在WPA/WPA2企业模式下认证 ➢ 用户提供的认证信息(如密码或个人证书)利用EAP协议传输给后台的
radius服务器进行认证 ➢ 密码和个人证书等关键信息离开用户的终端后不使用明文传输,能提供最
大程度的保密性 ➢ 无线终端可选对无线AP及后面的radius服务器进行认证
➢ WEB/Portal认证
2
7
edu.
81
.
.
科大用户在wisc 使用eduroam,输入的用户名是 xxx@
Eduroam联盟加入步骤
➢ 基础条件
➢ 有用户名和明文密码信息,以便radius使用(加密处理后的密 码麻烦些)
➢ 有一个vlan以DHCP上网,将来供无线用户使用 ➢ 准备1个IP地址,将来用作radius服务器
容易被破解,不建议使用
➢ WPA 更好的加密,会话中key一直在变化
➢ 个人模式(Personal mode): 密码认证,使用 TKIP/MIC加密 ➢ 企业模式(Enterprise mode): EAP认证,使用TKIP/MIC加密
➢ WPA2 最安全的模式,使用AES加密,几乎不能被破解,推 荐使用
➢ EAP-PEAP MSCHAPv2使用最广泛,国外使用EAPTLS也比较多,EAP-TTLS PAP认证也有少量使用
密码要求
/documents/protocols/compatibility.html 后台存用户明文密码支持最广泛
完整过程
RB962UiGS-5HacT2HnT hAP ac 双 频无线路由器,900元/台
➢ 720MHzCPU ➢ 128MB内存 ➢ 五个1000Mbps以太网端口 ➢ 双链支持802.11b/g/n 2.4GHz无线 ➢ 单链的802.11ac 5GHz无线 ➢ 支持radius等协议
低成本另建eduroam无线环境
国外专家习惯使用eduroam
➢ 周六在我校举办“第八届国际研究生奖学金信 息说明会”
➢ 会场提供了eduroam和ustc-internet(不需任何认 证)两个SSID
➢ 峰值180人连接无线网络,其中连接eduroam的有 60人
建议eduroam部署方案
➢ 先提出加入申请 ➢ 从部分覆盖开始,逐步扩大覆盖范围
➢ 个人模式(Personal mode): 密码认证,使用 AES/CCMP加密 ➢ 企业模式(Enterprise mode): EAP认证,使用AES/CCMP加密
个人模式/企业模式
➢ 个人模式(Personal mode):
➢ 无线AP和无线终端设备,使用相同的密码认证 ➢ 家用和soho站点使用很常见
EAP类型
➢ EAP是一个框架,很灵活,常用的有:
➢ EAP-TLS,主要用于证书认证 ➢ EAP-TTLS,使用TLS加密认证过程,后续使用PAP
认证,传送密码到后台,因此后台可以存非明文密码 ➢ PEAP,使用TLS加密认证过程,细分为
➢ EAP-PEAP MSCHAPv2不传送明文密码到后台,后台只能 存明文密码或NT hash
Eduroam联盟加入步骤
➢ 配置相关设备 ➢ 配置radius服务器(需要用到key信息)
➢ 配置无线网络
➢ 测试开通
➢ 参考资料:
➢ /~james/eduroam/ ➢
调试方法
➢ 在radius服务器上执行
➢ 这些账户可以直接在国内外eduroam网络使用
➢ 无线网络覆盖
➢ 购置无线路由器安装在省内高校的部分公用场所,如会议室、学术 报告厅等处
➢ 无线路由器认证对接上述freeradius服务器 ➢ 用户上网流量的转发
➢ 申请加入联盟
联系eduroam认证中心
❖ CERNET用户可以联系 eduroam@CERNET
❖ 其他用户请联系 eduroam 中国无线网漫游交换中 心
填写申请表,发送邮件,等待对方的电话联系,并获取到相 关的key(key用来与上游的radius服务器通信使用)
期(20分钟/次)将用户名/密码自动更新 ➢ 所有校内付费用户自动开通 ➢ 其他学校/机构用户直接无限制使用
2016年的使用情况
3000
2500
2000
1500 1000
校外用户 校内用户
500
0 1月 3月 5月 7月 9月
注:10月统计到23日 用户数大致比例是 校内:国外:国内=200:10:1
➢ 参与该联盟的机构只需在本单位设立eduroam账户,用户即可 使用原机构提供的合法账号,在全球已参与eduroam联盟机构 内实现无线网络访问的无障碍漫游。
➢ 中国科学院计算机网络信息中心负责管理eduroam中国无线网 漫游交换中心(/),它的服务器负 责.cn认证域的转发。
➢ 先期覆盖会议室、学术报告厅等有来访人员的区域
➢ radius认证服务
➢ 如果有用户名/密码信息,很容易设置 ➢ 如果没有,可以先提供接入服务,确保来访人员能
使用
➢ 如果现有校园无线网络无法支持,可以考虑在 部分区域以低成本方式另建eduroam的无线环 境
低成本另建eduroam无线环境
➢ 建议考虑 MikroTik RouterOS 无线路由器 ➢ MikroTik RouterOS是一种路由操作系统,基于
➢ radiusd –X ➢ 这样启动会打印详细的调试信息
➢ 使用终端连接无线,测试
➢ 如果正常连接,在radacct radpostauth表中能看到 相关的记录。
➢ /var/log/radius目录下可以看到更详细的认证和计费 记录。
➢ 测试工具,测试从国外登录是否能认证
➢ https://radius.ics.muni.cz/eduroam-test/eduroamtest.cgi
➢ 北京大学的服务器()负责认 证域的转发。
eduroam联盟无线网络服务
➢ 加入eduroam联盟的成员,要提供RADIUS服务器以实现认证、 计费(计费不是必需的)功能,还要提供支持802.1X认证的无线 接入服务设施以便用户使用无线网络。
➢ 无线接入设施将用户名(含认证的域名)、密码或个人证书信息 经过加密处理后,利用RADIUS协议发送给本地RADIUS服务器 请求认证。
➢ 如果是本域用户,RADIUS服务直接给出允许或拒绝用户接入的应答; ➢ 如果是其他联盟用户,RADIUS服务器将认证请求转发给上一级RADIUS
服务器,通过若干RADIUS服务器转发给用户所在域的RADIUS服务器, 最后将认证应答发送给无线接入设施。
WPA2/802.1X
EAP
Raidus/EAP
最终目的:一切为了安全 •传输加密 •用户密码之类的敏感信息hash处理后加密传输,永远不传输原文
Eduroam简介
➢ Eduroam是一个无线漫游认证体系 ➢ 起源于欧洲 ➢ 被各大教育和科研机构广泛采用 ➢ 解决用户在教育和科研机构间漫游时的用户身份认证问
RB952Ui-5ac2nD(hAP ac lite) ROS 双频无线路由器,400元/台
➢ 650MHzCPU ➢ 64MB内存 ➢ 五个100Mbps以太网端口 ➢ 双链支持802.11b/g/n 2.4GHz无线 ➢ 单链的802.11ac 5GHz无线 ➢ 支持radius等协议
低成本另建eduroam无线环境
➢ 整个认证过程中,用户提供的密码仅仅在用户的无线终端设备 (如手机、笔记本电脑)内明文处理,离开终端之后传输的不是 密码明文,而是经加密或处理后的密码,因此非常安全。
Eduroam的radius认证过程
cn.
edu.
radius
.
2
1
4
3
.
.
题
➢ 使用场景:一个科大的用户在国内外任何提供eduroam服务网 络中,在自己的设备上输入科大的用户名和密码,就可以通 过身份验证并使用wifi网络。
➢ 同时确保:
➢ 密码不会被泄漏 ➢ 无线信道加密
eduroam联盟无线网络服务
➢ eduroam(Education Roaming,https:///) 是一种安全的全球学术网络Wi-Fi漫游服务,目前已经覆盖全球 七十多个国家和地区的大学及科研机构。
➢ 设置简单:
➢ 购置无线路由器 ➢ 设置一台虚拟机freeradius
➢ 注意事项:
➢ 如果使用NAT,要注意Wifi用 户上网日志的记录
校园网
freeradius
省级eduroam部署方案讨论
➢ 条件具备的高校,建议直接加入eduroam联盟 ➢ 省级eduroam部署
➢ 认证服务器
➢ 省网中心设置freeradius服务器,对接将来规划中的统一身份认证系 统,认证过的各学校用户可以自主开户,审核后生效
Linux核心开发 ➢ 在无线、认证、策略路由、带宽控制和防火墙
过滤等功能上有着非常突出的功能,其极高的 性价比 ➢ 可以做为纯软件运行在x86硬件平台 ➢ MikroTik公司销售专用的一体化软硬件平台
设备形态
图片来自 /
低成本另建eduroam无线环境
➢ 用户提供用户名和密码后认证 ➢ 密码往往会提交给认证服务器
➢ 国外使用802.1X认证较多,尤其是漫游认证时
➢ 我国使用WEB/Portal认证较多,但漫游认证有信任问题
➢ 试想:一个科大的用户到师大使用网络,师大的服务器弹出一个窗口让你 输入科大的用户名和密码,该输入吗?是否能信任该服务器呢?
➢ 部署eduroam无线服务的SSID必须为eduroam,并且必须免费向 联盟成员用户提供。Eduroam不涉及任何费用的结算。
➢ 如果跟已有的计费政策冲突,可以考虑限制带宽/减少覆盖范围 等手段。
eduroam联盟无线网络服务
➢ 当用户连接无线接入服务设施时,需要提供用户名、密码等信息 用来认证身份。手机/win10使用非常方便,windows可能需要简 单设置。
如果使用nat要注意wifi用户上网日志的记录freeradius校园网省级eduroam部署方案讨论省级eduroam部署认证服务器省网中心设置freeradius服务器对接将来规划中的统一身份认证系统认证过的各学校用户可以自主开户审核后生效这些账户可以直接在国内外eduroam网络使用无线网络覆盖购置无线路由器安装在省内高校的部分公用场所如会议室学术报告厅等处无线路由器认证对接上述freeradius服务器用户上网流量的转发用户流量在学校本地转发推荐通过隧道将用户流量传到科大由科大统一对外转发学校配合工作提供一个省内静态ip地址给无线路由器如果是流量集中到科大转发建议不要经过nat谢谢
2
7. 1836 Nhomakorabeaedu. 4
5
.
.
.
.
mit用户在科大 使用eduroam,输入的用户名是 xxx@
Eduroam的radius认证过程
cn.
3 6
. 45
.
.
提纲
➢ 无线网络信道安全 ➢ Eduroam简介 ➢ Eduroam的radius认证过程 ➢ Eduroam联盟加入步骤 ➢ 学校的eduroam部署方案 ➢ 省级eduroam部署方案讨论
无线网络信道安全
认证:无线AP和无线终端识别对方的过程 加密:无线AP和无线终端之间通信的数据加密过程
➢ WEP open system,不加密,无任何安全手段 ➢ WEP 共享密码加密,简单认证,会话过程中加密key不变,
WPA2/802.1X
.
.
xxx@很像一个邮件地 址,但跟邮箱无关,它的含义是 域上的用户 xxx
sjtu用户在科大 使用eduroam,输入的用户名是 xxx@
Eduroam的radius认证过程
cn.
学校的eduroam部署方案
➢ 学校eduroam规划
➢ 是否与学校的计费规则冲突? ➢ 全覆盖还是部分覆盖? ➢ 是否有现成的用户名/密码信息? ➢ 现有的计费认证系统是否支持802.1X认证?
➢ 科大的做法:
➢ 全覆盖,所有无线AP都提供eduroam SSID ➢ 已有用户名/密码,单独建立freeradius服务器,定
➢ 无线AP和无线终端设备使用EAP认证,后台往往有 radius协议的参与
➢ 无线终端可以使用用户名/密码认证 ➢ 无线终端也可以使用个人证书认证 ➢ 我国使用用户名密码较常见 ➢ 国外使用个人证书也很常用
802.1X认证/WEB认证
➢ 802.1X认证
➢ 在WPA/WPA2企业模式下认证 ➢ 用户提供的认证信息(如密码或个人证书)利用EAP协议传输给后台的
radius服务器进行认证 ➢ 密码和个人证书等关键信息离开用户的终端后不使用明文传输,能提供最
大程度的保密性 ➢ 无线终端可选对无线AP及后面的radius服务器进行认证
➢ WEB/Portal认证
2
7
edu.
81
.
.
科大用户在wisc 使用eduroam,输入的用户名是 xxx@
Eduroam联盟加入步骤
➢ 基础条件
➢ 有用户名和明文密码信息,以便radius使用(加密处理后的密 码麻烦些)
➢ 有一个vlan以DHCP上网,将来供无线用户使用 ➢ 准备1个IP地址,将来用作radius服务器
容易被破解,不建议使用
➢ WPA 更好的加密,会话中key一直在变化
➢ 个人模式(Personal mode): 密码认证,使用 TKIP/MIC加密 ➢ 企业模式(Enterprise mode): EAP认证,使用TKIP/MIC加密
➢ WPA2 最安全的模式,使用AES加密,几乎不能被破解,推 荐使用
➢ EAP-PEAP MSCHAPv2使用最广泛,国外使用EAPTLS也比较多,EAP-TTLS PAP认证也有少量使用
密码要求
/documents/protocols/compatibility.html 后台存用户明文密码支持最广泛
完整过程
RB962UiGS-5HacT2HnT hAP ac 双 频无线路由器,900元/台
➢ 720MHzCPU ➢ 128MB内存 ➢ 五个1000Mbps以太网端口 ➢ 双链支持802.11b/g/n 2.4GHz无线 ➢ 单链的802.11ac 5GHz无线 ➢ 支持radius等协议
低成本另建eduroam无线环境
国外专家习惯使用eduroam
➢ 周六在我校举办“第八届国际研究生奖学金信 息说明会”
➢ 会场提供了eduroam和ustc-internet(不需任何认 证)两个SSID
➢ 峰值180人连接无线网络,其中连接eduroam的有 60人
建议eduroam部署方案
➢ 先提出加入申请 ➢ 从部分覆盖开始,逐步扩大覆盖范围
➢ 个人模式(Personal mode): 密码认证,使用 AES/CCMP加密 ➢ 企业模式(Enterprise mode): EAP认证,使用AES/CCMP加密
个人模式/企业模式
➢ 个人模式(Personal mode):
➢ 无线AP和无线终端设备,使用相同的密码认证 ➢ 家用和soho站点使用很常见
EAP类型
➢ EAP是一个框架,很灵活,常用的有:
➢ EAP-TLS,主要用于证书认证 ➢ EAP-TTLS,使用TLS加密认证过程,后续使用PAP
认证,传送密码到后台,因此后台可以存非明文密码 ➢ PEAP,使用TLS加密认证过程,细分为
➢ EAP-PEAP MSCHAPv2不传送明文密码到后台,后台只能 存明文密码或NT hash
Eduroam联盟加入步骤
➢ 配置相关设备 ➢ 配置radius服务器(需要用到key信息)
➢ 配置无线网络
➢ 测试开通
➢ 参考资料:
➢ /~james/eduroam/ ➢
调试方法
➢ 在radius服务器上执行
➢ 这些账户可以直接在国内外eduroam网络使用
➢ 无线网络覆盖
➢ 购置无线路由器安装在省内高校的部分公用场所,如会议室、学术 报告厅等处
➢ 无线路由器认证对接上述freeradius服务器 ➢ 用户上网流量的转发
➢ 申请加入联盟
联系eduroam认证中心
❖ CERNET用户可以联系 eduroam@CERNET
❖ 其他用户请联系 eduroam 中国无线网漫游交换中 心
填写申请表,发送邮件,等待对方的电话联系,并获取到相 关的key(key用来与上游的radius服务器通信使用)
期(20分钟/次)将用户名/密码自动更新 ➢ 所有校内付费用户自动开通 ➢ 其他学校/机构用户直接无限制使用
2016年的使用情况
3000
2500
2000
1500 1000
校外用户 校内用户
500
0 1月 3月 5月 7月 9月
注:10月统计到23日 用户数大致比例是 校内:国外:国内=200:10:1
➢ 参与该联盟的机构只需在本单位设立eduroam账户,用户即可 使用原机构提供的合法账号,在全球已参与eduroam联盟机构 内实现无线网络访问的无障碍漫游。
➢ 中国科学院计算机网络信息中心负责管理eduroam中国无线网 漫游交换中心(/),它的服务器负 责.cn认证域的转发。
➢ 先期覆盖会议室、学术报告厅等有来访人员的区域
➢ radius认证服务
➢ 如果有用户名/密码信息,很容易设置 ➢ 如果没有,可以先提供接入服务,确保来访人员能
使用
➢ 如果现有校园无线网络无法支持,可以考虑在 部分区域以低成本方式另建eduroam的无线环 境
低成本另建eduroam无线环境
➢ 建议考虑 MikroTik RouterOS 无线路由器 ➢ MikroTik RouterOS是一种路由操作系统,基于
➢ radiusd –X ➢ 这样启动会打印详细的调试信息
➢ 使用终端连接无线,测试
➢ 如果正常连接,在radacct radpostauth表中能看到 相关的记录。
➢ /var/log/radius目录下可以看到更详细的认证和计费 记录。
➢ 测试工具,测试从国外登录是否能认证
➢ https://radius.ics.muni.cz/eduroam-test/eduroamtest.cgi
➢ 北京大学的服务器()负责认 证域的转发。
eduroam联盟无线网络服务
➢ 加入eduroam联盟的成员,要提供RADIUS服务器以实现认证、 计费(计费不是必需的)功能,还要提供支持802.1X认证的无线 接入服务设施以便用户使用无线网络。
➢ 无线接入设施将用户名(含认证的域名)、密码或个人证书信息 经过加密处理后,利用RADIUS协议发送给本地RADIUS服务器 请求认证。
➢ 如果是本域用户,RADIUS服务直接给出允许或拒绝用户接入的应答; ➢ 如果是其他联盟用户,RADIUS服务器将认证请求转发给上一级RADIUS
服务器,通过若干RADIUS服务器转发给用户所在域的RADIUS服务器, 最后将认证应答发送给无线接入设施。
WPA2/802.1X
EAP
Raidus/EAP
最终目的:一切为了安全 •传输加密 •用户密码之类的敏感信息hash处理后加密传输,永远不传输原文
Eduroam简介
➢ Eduroam是一个无线漫游认证体系 ➢ 起源于欧洲 ➢ 被各大教育和科研机构广泛采用 ➢ 解决用户在教育和科研机构间漫游时的用户身份认证问
RB952Ui-5ac2nD(hAP ac lite) ROS 双频无线路由器,400元/台
➢ 650MHzCPU ➢ 64MB内存 ➢ 五个100Mbps以太网端口 ➢ 双链支持802.11b/g/n 2.4GHz无线 ➢ 单链的802.11ac 5GHz无线 ➢ 支持radius等协议
低成本另建eduroam无线环境
➢ 整个认证过程中,用户提供的密码仅仅在用户的无线终端设备 (如手机、笔记本电脑)内明文处理,离开终端之后传输的不是 密码明文,而是经加密或处理后的密码,因此非常安全。
Eduroam的radius认证过程
cn.
edu.
radius
.
2
1
4
3
.
.
题
➢ 使用场景:一个科大的用户在国内外任何提供eduroam服务网 络中,在自己的设备上输入科大的用户名和密码,就可以通 过身份验证并使用wifi网络。
➢ 同时确保:
➢ 密码不会被泄漏 ➢ 无线信道加密
eduroam联盟无线网络服务
➢ eduroam(Education Roaming,https:///) 是一种安全的全球学术网络Wi-Fi漫游服务,目前已经覆盖全球 七十多个国家和地区的大学及科研机构。
➢ 设置简单:
➢ 购置无线路由器 ➢ 设置一台虚拟机freeradius
➢ 注意事项:
➢ 如果使用NAT,要注意Wifi用 户上网日志的记录
校园网
freeradius
省级eduroam部署方案讨论
➢ 条件具备的高校,建议直接加入eduroam联盟 ➢ 省级eduroam部署
➢ 认证服务器
➢ 省网中心设置freeradius服务器,对接将来规划中的统一身份认证系 统,认证过的各学校用户可以自主开户,审核后生效
Linux核心开发 ➢ 在无线、认证、策略路由、带宽控制和防火墙
过滤等功能上有着非常突出的功能,其极高的 性价比 ➢ 可以做为纯软件运行在x86硬件平台 ➢ MikroTik公司销售专用的一体化软硬件平台
设备形态
图片来自 /
低成本另建eduroam无线环境
➢ 用户提供用户名和密码后认证 ➢ 密码往往会提交给认证服务器
➢ 国外使用802.1X认证较多,尤其是漫游认证时
➢ 我国使用WEB/Portal认证较多,但漫游认证有信任问题
➢ 试想:一个科大的用户到师大使用网络,师大的服务器弹出一个窗口让你 输入科大的用户名和密码,该输入吗?是否能信任该服务器呢?
➢ 部署eduroam无线服务的SSID必须为eduroam,并且必须免费向 联盟成员用户提供。Eduroam不涉及任何费用的结算。
➢ 如果跟已有的计费政策冲突,可以考虑限制带宽/减少覆盖范围 等手段。
eduroam联盟无线网络服务
➢ 当用户连接无线接入服务设施时,需要提供用户名、密码等信息 用来认证身份。手机/win10使用非常方便,windows可能需要简 单设置。
如果使用nat要注意wifi用户上网日志的记录freeradius校园网省级eduroam部署方案讨论省级eduroam部署认证服务器省网中心设置freeradius服务器对接将来规划中的统一身份认证系统认证过的各学校用户可以自主开户审核后生效这些账户可以直接在国内外eduroam网络使用无线网络覆盖购置无线路由器安装在省内高校的部分公用场所如会议室学术报告厅等处无线路由器认证对接上述freeradius服务器用户上网流量的转发用户流量在学校本地转发推荐通过隧道将用户流量传到科大由科大统一对外转发学校配合工作提供一个省内静态ip地址给无线路由器如果是流量集中到科大转发建议不要经过nat谢谢
2
7. 1836 Nhomakorabeaedu. 4
5
.
.
.
.
mit用户在科大 使用eduroam,输入的用户名是 xxx@
Eduroam的radius认证过程
cn.
3 6
. 45
.
.
提纲
➢ 无线网络信道安全 ➢ Eduroam简介 ➢ Eduroam的radius认证过程 ➢ Eduroam联盟加入步骤 ➢ 学校的eduroam部署方案 ➢ 省级eduroam部署方案讨论
无线网络信道安全
认证:无线AP和无线终端识别对方的过程 加密:无线AP和无线终端之间通信的数据加密过程
➢ WEP open system,不加密,无任何安全手段 ➢ WEP 共享密码加密,简单认证,会话过程中加密key不变,
WPA2/802.1X
.
.
xxx@很像一个邮件地 址,但跟邮箱无关,它的含义是 域上的用户 xxx
sjtu用户在科大 使用eduroam,输入的用户名是 xxx@
Eduroam的radius认证过程
cn.
学校的eduroam部署方案
➢ 学校eduroam规划
➢ 是否与学校的计费规则冲突? ➢ 全覆盖还是部分覆盖? ➢ 是否有现成的用户名/密码信息? ➢ 现有的计费认证系统是否支持802.1X认证?
➢ 科大的做法:
➢ 全覆盖,所有无线AP都提供eduroam SSID ➢ 已有用户名/密码,单独建立freeradius服务器,定