Muut työtilat
Page History
Tip |
---|
Tämän palvelun käyttö sisältyy Funet-jäsenmaksuun. |
Panel | |||||
---|---|---|---|---|---|
|
Section | ||
---|---|---|
|
Kuvaus
...
|
...
|
...
|
...
|
...
|
...
|
...
|
...
|
...
|
Käyttöönotto
Mukaan pääsevät kaikki Funet-jäsenorganisaatiot korkeakouluista tutkimuslaitoksiin ilman erillistä sopimusta. eduroamiin liittyäkseen Funet-jäsenorganisaation on täytettävä eduroam policyn mukaiset tekniset vaatimukset. Loppukäyttäjän asennusohjeet taas saat omasta korkeakoulustasi sekä loppukäyttäjille kohdennetulta eduroam.fi -sivustolta.
Tarkemmat liittymisohjeet organisaatiolle löytyvät alempaa Ohjeet-kohdasta tältä sivulta. Saat myös aina apua Funetilta, ota halutessasi yhteyttä: Yhteystiedot.
Suomessa eduroam on käytettävissä seuraavissa organisaatioissa:
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
|
Kattavuus
Viereinen kuuluvuuskartta osoittaa eduroamin tämän hetken kattavuuden Suomessa. Muun muassa kaikki yliopistot sekä puolet ammattikorkeakouluista on jo eduroamin piirissä.
eduroamin maailmanlaajuinen kattavuus selviää eduroam.orgin kuuluvuuskartasta.
Käyttäjä sitoutuu noudattamaan sekä kotiorganisaationsa että vierailtavan organisaation verkon käyttösääntöjä. Ongelmatilanteissa käyttäjän tulee olla aina ensiksi yhteydessä omaan kotiorganisaatioonsa, joka on vastuussa käyttötuen tarjoamisesta omalle käyttäjälleen.
Hinnoittelu
Palvelu sisältyy Funet-maksuun.
Tilastot
Verkkovierailupalvelu eduroamissa on mukana noin yli 30 Funet-jäsenorganisaatiota. Verkko on käytettävissä yli 250 kohteessa sadoissa kohteissa Suomessa , ja kansainvälisesti jo yli 60 100 maassa.
Ohjeet
Ohjeita...
Organisaation liittyminen eduroamiin
Maailmanlaajuisia tilastoja voi tarkastella osoitteessa monitor.eduroam.org ja tarkempia lukuja Suomen osalta sisältyy Funetin käyttöraportteihin.
Ohjeet
Seuraavassa on tiivis yhteenveto siitä, mitä vaatimuksia ja toimenpiteitä eduroamin käyttöönottoon liittyy.
Kuka pääsee mukaan?
Kaikki Funet-jäsenorganisaatiot voivat liittyä maksutta mukaan eduroam-verkkovierailuun. Mukana ovat jo muun muassa kaikki yliopistot sekä ammattikorkeakoulut.
Verkkoinfrastruktuuri
Organisaation Langattomien tukiasemien on tuettava 802.1X- ja WPA2/AESWPA3-standardejatekniikoita. Lisäksi on hyvä varmistaa, että tukiasemat osaavat tarvittaessa mainostaa tukiasemien pitää pystyä mainostamaan eduroam-SSID:n lisäksi muitakin verkkoja. Nykyaikaiset enterprise-tukiasemat kelpaavat lähes poikkeuksetta. Funetin sisällä käytetyimpiä tukiasemavalmistajia ovat Aruba, Cisco ja HPtä mahdollisten muiden verkkojen lisäksi. Verkkoinfrassa käyttäjät lajitellaan tyypillisesti eri virtuaalilähiverkkoihin (VLAN) sen perusteella, onko kyse omasta vai vierailevasta käyttäjästä.
Autentikointipalvelin ja käyttäjätietokanta
Käyttäjien autentikointia varten tarvitaan RADIUS-palvelin, joka liitetään eduroamin kansainväliseen RADIUS-hierarkiaan Suomen eduroam-juuripalvelinten kautta. Funet (Service Provider). Funet vastaa Suomen juuripalvelusta ja avustaa liitoksessa Suomen juuripalveluun. Jotta organisaation omat käyttäjät pystyvät kirjautumaan eduroamiin sekä kotiverkossaan että vieraillessaan muissa eduroam-verkoissaverkoissa (Identity Provider), tulee organisaation liittää RADIUS-palvelin omaan käyttäjätietokantaan, jota vasten sen omat käyttäjät autentikoidaan. RADIUS-palvelimina on yleisesti käytössä FreeRADIUS, Radiator ja Microsoftin IAS/NPS-palvelin. Käyttäjätietokanta voi olla esimerkiksi AD, LDAP tai SQLratkaisut. Funet toimittaa testausvaiheessa määräaikaiset testitunnukset, joilla voi testata eduroam-kirjautumista vierailevan käyttäjän näkökulmasta.
RADIUS-palvelimelle tarvitaan palvelinvarmenne. Funet-jäsenorganisaatioilla on mahdollisuus hankkia maksuton TERENA:n julkisen varmentajan allekirjoittama varmenne Funet-varmennepalvelun kautta. Myös itse allekirjoitettu varmenne kelpaa.
Ohjeita ja dokumentaatioita
itseallekirjoitettu varmenne kelpaa.
Anchor | ||||
---|---|---|---|---|
|
eduroam-yhteisö on määrittänyt verkkopalvelut, jotka on oltava saatavilla vierailijoille. Alla Porttimääreet-kohdassa on esitetty portit, jotka on avattava eduroam-vierailijoille. Kyse on minimivaatimuksesta.
Panel | |||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
Viimeistelevät toimenpiteet
Kun verkkovierailujärjestelmä on teknisesti käyttökunnossa, tulee vielä huolehtia muun muassa käyttäjäviestinnästä ja tukitoiminnoista. Omia käyttäjiä kannattaa tiedottaa eduroamin olemassaolosta sekä kannustaa ja opastaa sen käyttöön. Päätelaitteiden konfigurointi on suositeltavaa suorittaa provisiointityökaluilla, joilla saavutetaan yhteensopivat ja tietoturvalliset konfiguraatiot. Funet suosittelee eduroam CAT -työkalua (https://cat.eduroam.org), joka tukee eri alustoja. Funet luo verkkoylläpitäjille pyynnöstä käyttäjätunnukset eduroam CAT -palveluun, johon ylläpitäjä syöttää oman eduroam-verkkonsa tiedot, kuten varmenteen ja autentikointipalvelimen nimen. Tämän jälkeen CAT/geteduroam luo käyttöjärjestelmäkohtaiset asennuspaketit loppukäyttäjien noudettavaksi.
Ilmoita uusista tai poistuneista eduroam-käyttöpaikoista (katuosoitteen tarkkuudella) Funetille, joka ylläpitää Suomen tietoja kansainvälisessä eduroam-peittokartassa. Karttadatan pohjalta toimii myös eduroam Companion -mobiilisovellus (Android ja iOS), joka löytää GPS-paikannuksen ja karttadatan perusteella käyttäjää lähimpänä olevat eduroam-tukiasemat. Sovellusta on hyvä markkinoida myös korkeakoulun eduroam-ohjeistuksen yhteydessä. Funetilta saa eduroam-tarroja kiinnitettäväksi esimerkiksi kampusrakennusten tai luentotilojen sisäänkäyntien yhteyteen. Joissain korkeakouluissa on myös valmisteltu opiskelijatöinä eduroam-aiheisia julisteita. Mielikuvitusta saa käyttää!
Verkkovierailun toimivuutta kannattaa myös valvoa. Vertaistukea eduroamiin ja laajemminkin langattomiin verkkoihin liittyvissä asioissa voi hakea MobileFunetin yhteistyöryhmän kautta.
Dokumentaatio, konfigurointiohjeet ja tuki
Verkkovierailupalvelu eduroam on kansainvälisesti tunnettu verkkovierailujärjestelmä, joten internetistä löytyy runsaasti siihen liittyvää materiaaliaeduroam on kansainvälinen ja tunnettu verkkovierailujärjestelmä, joten siitä löytyy runsaasti materiaalia erityisesti englanniksi. Seuraavassa on valikoituja linkkejä hyviksi todettuihin materiaaleihin, ja eduroamiin liittyvissä asioissa voi aina olla yhteydessä myös Funetiin (ota yhteyttä).
Viimeistelevät toimenpiteet
Kun verkkovierailujärjestelmä on teknisesti käyttökunnossa, tulee vielä huolehtia muun muassa käyttäjäviestinnästä ja tukitoiminnoista. Omia käyttäjiä kannattaa tiedottaa eduroamin olemassaolosta ja opastaa sen käyttöönotossa.
Loppukäyttäjän ohjeet
eduroam.org: eduroam Policy Service Definition (pdf, eduroamin palvelukuvaus ja politiikka, johon myös Funet on sitoutunut)
MobileFunet: Parhaat käytännöt -dokumentit (oppaita ja konfigurointiohjeita, mm. ladattavat konfiguraatiot FreeRADIUSv2-palvelimelle)
Geant.org: How to deploy eduroam on-site or on campus (kattava wiki eduroamin käyttöönottoon kampuksella)
Tietosuojadokumenttipohja eduroam IdP -organisaatioille: Mallilomake tietosuojailmoitukseksi eduroam-käyttäjille (Lomake on malli ja käyttö on täysin organisaation omalla vastuulla)
Loppukäyttäjäsivusto: www.eduroam.fi
Vianselvitys
Jos käyttöönottovaiheessa autentikointiin kuuluva viestinvälitys ei toimi ongelmitta, onglema saattaa olla UDP-fragmentoinnissa. UDP-fragmentointi pitää sallia WLAN-verkon kontrollerilta RADIUS-palvelimelle asti koko matkalla (palomuurit, reitittimet. ym.). Linkillä saattaa olla tyypillisesti esim. MTU-arvo 1500, mutta tavanomaisenkin RADIUS-autentikoinnin aikana paketit saattavat kasvaa tuota suuremmiksi, jolloin fragmentoinnin pitää toimia tai kehykset eivät tule perille ehjinä.
Jos yksittäisellä käyttäjällä on liittymisongelma syyksi paljastuu hyvin usein väärin syötetty salasanaa, esim. salasanavaihdon yhdeydessä. Muissa tapauksissa on syytä kehoittaa käyttäjää varmistamaan päätelaitteensa konfiguroinnin oikeellisuus ajamalla oman kotiorganisaationsa käyttöjärjestelmäkohtaisen asennuspaketin uudelleen eduroam CAT -työkalusta (https://cat.eduroam.org). Varsinainen asennus yleensä geteduroam-sovelluksen avulla.
Verkon puolella mahdollisten autentikointiongelmien syyksi paljastuu useimmiten käyttäjätietokantojen toimintahäiriöOhjeistusta...