Muut työtilat
Page History
Tip |
---|
Tämän palvelun käyttö sisältyy Funet-jäsenmaksuun. |
Panel | |||||
---|---|---|---|---|---|
|
...
Section | ||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|
|
...
Tarkemmat liittymisohjeet organisaatiolle löytyvät alempaa 43253767Ohjeet-kohdasta tältä sivulta. Saat myös aina apua Funetilta, ota halutessasi yhteyttä: Yhteystiedot.
...
Käyttäjä sitoutuu noudattamaan sekä kotiorganisaationsa että vierailtavan organisaation verkon käyttösääntöjä. Myös päätelaitteen tietoturva tulee huomioida, sillä vierailijaverkon ja internetin välissä ei välttämättä ole palomuuria tai samaa pakettisuodatusta kuin oman kotikorkeakoulun verkossa. Eri toimijoiden toteuttamissa vierailijaverkoissa voi myös olla erilaisia teknisiä rajoituksia tai laadullista vaihtelua. Ongelmatilanteissa käyttäjän tulee olla aina ensiksi yhteydessä omaan kotiorganisaatioonsa, joka on vastuussa käyttötuen tarjoamisesta omalle käyttäjälleen.
...
Palvelu sisältyy Funet-maksuun.
Tilastot
Verkkovierailupalvelu eduroamissa on mukana yli 30 Funet-jäsenorganisaatiota. Verkko on käytettävissä sadoissa kohteissa Suomessa ja kansainvälisesti noin yli 100 maassa. Maailmanlaajuisia tilastoja voi tarkastella osoitteessa monitor.eduroam.org ja tarkempia lukuja Suomen osalta sisältyy Funetin käyttöraportteihin.
Ohjeet
Seuraavassa on tiivis yhteenveto siitä, mitä vaatimuksia ja toimenpiteitä eduroamin käyttöönottoon liittyy.
...
Kaikki Funet-jäsenorganisaatiot voivat liittyä maksutta mukaan eduroam-verkkovierailuun. Mukana ovat jo muun muassa kaikki yliopistot sekä valtaosa ammattikorkeakouluistaammattikorkeakoulut.
Verkkoinfrastruktuuri
Langattomien tukiasemien on tuettava 802.1X- ja WPA2/AESWPA3-tekniikoita. Lisäksi tukiasemien pitää pystyä mainostamaan eduroam-SSID:tä mahdollisten muiden verkkojen lisäksi. Nykyaikaiset enterprise-tukiasemat kelpaavat lähes poikkeuksetta. Funetin sisällä käytetyimpiä ovat Aruban, Ciscon ja HP:n kontrolleripohjaiset ratkaisut. Verkkoinfrassa käyttäjät lajitellaan tyypillisesti eri virtuaalilähiverkkoihin (VLAN) sen perusteella, onko kyse omasta vai vierailevasta käyttäjästä.
...
Käyttäjien autentikointia varten tarvitaan RADIUS-palvelin, joka liitetään eduroamin kansainväliseen RADIUS-hierarkiaan Suomen eduroam-juuripalvelinten kautta (Service Provider). Funet vastaa Suomen juuripalvelusta ja avustaa liitoksessa. Jotta organisaation omat käyttäjät pystyvät kirjautumaan eduroamiin sekä kotiverkossaan että vieraillessaan muissa eduroam-verkoissa (Identity Provider), tulee organisaation liittää RADIUS-palvelin omaan käyttäjätietokantaan, jota vasten sen omat käyttäjät autentikoidaan. RADIUS-palvelimina on yleisesti käytössä FreeRADIUS, Radiator ja Microsoftin IAS/NPS. Käyttäjätietokanta voi olla esimerkiksi AD. ratkaisut. Funet toimittaa testausvaiheessa määräaikaiset testitunnukset, joilla voi testata eduroam-kirjautumista vierailevan käyttäjän näkökulmasta.
RADIUS-palvelimelle tarvitaan palvelinvarmenne. Funet-jäsenorganisaatioilla on mahdollisuus hankkia maksuton julkisen varmentajan allekirjoittama varmenne Funet-varmennepalvelun kautta. Myös itseallekirjoitettu varmenne kelpaa, mutta tällaista varmennetta ei luonnollisestikaan löydy valmiina käyttäjien päätelaitteista.
Anchor | ||||
---|---|---|---|---|
|
...
Kun verkkovierailujärjestelmä on teknisesti käyttökunnossa, tulee vielä huolehtia muun muassa käyttäjäviestinnästä ja tukitoiminnoista. Omia käyttäjiä kannattaa tiedottaa eduroamin olemassaolosta sekä kannustaa ja opastaa sen käyttöön. Päätelaitteiden konfigurointi on suositeltavaa suorittaa provisiointityökaluilla, joilla saavutetaan yhteensopivat ja tietoturvalliset konfiguraatiot. Funet suosittelee eduroam CAT -työkalua (https://cat.eduroam.org), joka tulee Windows-, Linux-, Mac-, iOS- ja Android-tukee eri alustoja. Funet luo verkkoylläpitäjille pyynnöstä käyttäjätunnukset eduroam CAT -palveluun, johon ylläpitäjä syöttää oman eduroam-verkkonsa tiedot, kuten varmenteen ja autentikointipalvelimen nimen. Tämän jälkeen CAT/geteduroam luo käyttöjärjestelmäkohtaiset asennuspaketit loppukäyttäjien noudettavaksi.
...
Verkkovierailun toimivuutta kannattaa myös valvoa. Valvonnan toteutuksesta on kirjoitettu muun muassa MobileFunet-yhteistyöryhmän Parhaat käytännöt -dokumentissa WLAN-verkon infrastruktuuri. Vertaistukea eduroamiin ja laajemminkin langattomiin verkkoihin liittyvissä asioissa voi hakea MobileFunetin postituslistan yhteistyöryhmän kautta.
...
Informoi käyttäjiä palvelusta julistein! Lataa eduroam-julistetiedosto tulostettavaksi/painettavaksi:
...
Dokumentaatio, konfigurointiohjeet ja tuki
...
eduroam.org: eduroam Policy Service Definition (pdf, eduroamin palvelukuvaus ja politiikka, johon myös Funet on sitoutunut)
MobileFunet: Parhaat käytännöt -dokumentit (oppaita ja konfigurointiohjeita, mm. ladattavat konfiguraatiot FreeRADIUSv2-palvelimelle)
Geant.org: How to deploy eduroam on-site or on campus (kattava wiki eduroamin käyttöönottoon kampuksella)
...
Jos käyttöönottovaiheessa autentikointiin kuuluva viestinvälitys ei toimi ongelmitta, onglema saattaa olla UDP-fragmentoinnissa. UDPUDP-fragmentointi pitää sallia WLAN-verkon kontrollerilta kontrollerilta RADIUS-palvelimelle asti koko matkalla (palomuurit, reitittimet. ym.). Linkillä Linkillä saattaa olla tyypillisesti esim. MTU-arvo 1500, mutta tavanomaisenkin RADIUS-autentikoinnin aikana paketit saattavat kasvaa tuota suuremmiksi, jolloin fragmentoinnin pitää toimia tai kehykset eivät tule perille ehjinä.
Jos yksittäisellä käyttäjällä on liittymisongelma syyksi paljastuu hyvin usein väärin syötetty salasanaa, esim. salasanavaihdon yhdeydessä. Muissa tapauksissa on syytä kehoittaa käyttäjää varmistamaan päätelaitteensa konfiguroinnin oikeellisuus ajamalla oman kotiorganisaationsa käyttöjärjestelmäkohtaisen asennuspaketin uudelleen eduroam CAT -työkalusta (https://cat.eduroam.org). Varsinainen asennus yleensä geteduroam-sovelluksen avulla.
Verkon puolella mahdollisten autentikointiongelmien syyksi paljastuu useimmiten käyttäjätietokantojen toimintahäiriö.
...