Versions Compared

Old Version 38

changes.mady.by.user Unknown User (tsalmi@csc.fi)

Saved on

compared with

New Version Current

changes.mady.by.user Juha Hopia

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.


Tip

Tämän palvelun käyttö sisältyy Funet-jäsenmaksuun.


Panel

Expand
titleInformation in English (Click here to expand)
Funet supports eduroam, the international collaboration service for easier network access for academic users. Service The service is available e.g. in Finnish universities and in most of the universities of applied sciences. The information on this page is available only in Finnish. If you have problems using the service, please contact please contact first your home organisation. The provided service level for this service is best effort.


Additional information

...



Section


Column

Kuvaus

...

Verkkovierailupalvelu eduroamin piirissä olevien Funet-jäsenorganisaatioiden käyttäjät voivat kirjautua omilla tutuilla käyttäjätunnuksillaan langattomaan vierailijaverkkoon vieraillessaan minkä tahansa eduroam-verkon kuuluvuusalueella. Kunkin käyttäjän käyttäjätunnustiedot haetaan tämän kotiorganisaatiosta eikä erillisiä vierailijatunnuksia tarvita, mikä vähentää käyttäjähallinnointiin

...

liittyvää työtä.

...

Toteutus perustuu 802.1X-autentikointiin ja WPA2/

...

WPA3-salaukseen, joten

...

palvelun käyttö on turvallista ja suositeltavampaa kuin

...

avointen WLAN-verkkojen käyttäminen. Oikein konfiguroitu päätelaite kytkeytyy eduroam-verkkoon sen kantoalueella automaattisesti, ja slogan kuuluukin "open your device and be online".

Palvelun palvelutaso on best effort. Palvelun tarjoamisen liittyvät tietosuojakäytännöt.

Verkkovierailupalvelu eduroam on kansainvälinen

...

järjestelmä, joka

...

edistää käyttäjiensä liikkuvuuttaja työskentelyä ympäri maailman.

...

Palvelu perustuu organisaatioiden väliseen vastavuoroisuuteen, ja siihen voivat liittyä ylemmät oppilaitokset ja tutkimuslaitokset. Suomessa eduroamia koordinoi Funet

...

. Maailmanlaajuinen eduroam-kattavuus selviää eduroam.orgin kuuluvuuskartasta.

eduroamissa organisaatio tarjoaa omille ja vieraileville eduroam-käyttäjille langatonta verkkoaan kuuluvuusalueellaan. Tällöin palvelua kutsutaan Service Provider (SP) ja Identity Provider (IdP) -ratkaisuksi.

HUOM! eduroamiin on mahdollista liittyä myös palveluntarjoajana (Service Provider), jolloin esimerkiksi kaupunki tai kahvila voi tarjota vierailijoilleen maksuttoman pääsyn eduroamiin. Lue tarkemmin eduroam proxy -palvelusta.

Seuraavassa eduroamin kolme merkittävintä etua tavalliseen vierailijaverkkoon nähden:

  1. Muista eduroam-organisaatioista saapuvat vierailijat saavat käyttöönsä tunnetun ja heti käyttövalmiin vierailijaverkon ilman erillisiä vierailijatunnuksia.

  2. Vastaavasti omat käyttäjät pääsevät verkkoon kotikorkeakoulunsa lisäksi kaikissa muissakin eduroam-paikoissa kotimaassa ja ulkomailla. Kotiverkossa omille käyttäjille voi antaa vierailijoita laajemmat käyttöoikeudet, esimerkiksi pääsyn intranetiin.

  3. Palvelu perustuu tietoturvallisiin tekniikoihin, kuten 802.1X-autentikointiin ja WPA2/WPA3-salaukseen.



Column

Widget Connector
width400
urlhttps://www.youtube.com/watch?v=RGfVYvYE9f4
height220

Image Added


Käyttöönotto

Mukaan pääsevät kaikki Funet-jäsenorganisaatiot korkeakouluista tutkimuslaitoksiin ilman erillistä sopimusta. eduroamiin liittyäkseen Funet-jäsenorganisaation on täytettävä eduroam policyn mukaiset tekniset vaatimukset. Loppukäyttäjän asennusohjeet taas saat omasta korkeakoulustasi sekä loppukäyttäjille kohdennetulta eduroam.fi -sivustolta.

Tarkemmat liittymisohjeet organisaatiolle löytyvät alempaa Ohjeet-kohdasta tältä sivulta. Saat myös aina apua Funetilta, ota halutessasi yhteyttä: Yhteystiedot.

Suomessa eduroam on käytettävissä seuraavissa organisaatioissa:


Panel


Section


Column


Expand
titleeduroamiin liittyneet organisaatiot (näytä/piilota)

 

Verkon kattavuus ja käyttöohjeet

Viereinen kuuluvuuskartta osoittaa eduroamin tämän hetken kattavuuden Suomessa. Muun muassa kaikki yliopistot sekä puolet ammattikorkeakouluista on jo eduroamin piirissä.

eduroamin maailmanlaajuinen kattavuus selviää eduroam.orgin kuuluvuuskartasta.

 

Panel
Luettelo eduroamin piirissä olevista Funet-jäsenorganisaatioista
Expand
title
AYY Aalto-yliopiston ylioppilaskunta *)
Helsinki Institute of Information Technology (HIIT)
  • Lappeenrannen seudun opiskelija-asuntosäätiö *)
    • *) = Ei eduroamiin liitettyä omaa käyttäjätietokantaa.
    Listaus päivitetty 26.2.2014.

    Kyseisillä organisaatioilla eduroamiin on liitetty oma käyttäjätietokanta. Organisaatiot siis toimivat sekä IdP:n (Identity Provider) että SP:n (Service Provider) rooleissa.



    Column


    Expand
    titleeduroamia tarjoavat verkossaan lisäksi (näytä/piilota)

    Kyseisillä organisaatioilla eduroamiin ei ole liitetty omaa käyttäjätietokantaa. Organisaatiot toimivat vain SP:n (Service Provider) roolissa.




    Käyttäjä sitoutuu noudattamaan sekä kotiorganisaationsa että vierailtavan organisaation verkon käyttösääntöjä. Myös päätelaitteen tietoturva tulee huomioida, vierailijaverkon ja Internetin välissä ei välttämättä ole palomuuria. Eri toimijoiden toteuttamissa vierailijaverkoissa voi myös olla erilaisia teknisiä rajoituksia tai laadullista vaihtelua. Ongelmatilanteissa käyttäjän tulee olla aina ensiksi yhteydessä omaan kotiorganisaatioonsa, jotka ovat joka on vastuussa käyttötuen tarjoamisesta omille käyttäjilleenomalle käyttäjälleen.

    Hinnoittelu

    Palvelu sisältyy Funet-maksuun.

    Tilastot

    Image RemovedImage Added


    Verkkovierailupalvelu eduroamissa on mukana noin yli 30 Funet-jäsenorganisaatiota. Verkko on käytettävissä yli 250 kohteessa sadoissa kohteissa Suomessa , ja kansainvälisesti jo yli 60 maassa100 maassa. Maailmanlaajuisia tilastoja voi tarkastella osoitteessa monitor.eduroam.org ja tarkempia lukuja Suomen osalta sisältyy Funetin käyttöraportteihin.

    Ohjeet

    ...

    Seuraavassa on tiivis yhteenveto siitä, mitä vaatimuksia ja toimenpiteitä eduroamin käyttöönottoon liittyy.

    Kuka pääsee mukaan?

    Kaikki Funet-jäsenorganisaatiot voivat liittyä maksutta mukaan eduroam-verkkovierailuun. Mukana ovat jo muun muassa kaikki yliopistot sekä ammattikorkeakoulut.

    Verkkoinfrastruktuuri

    Langattomien tukiasemien on tuettava 802.1X- ja WPA2/AESWPA3-tekniikoita. Lisäksi on hyvä varmistaa, että tukiasemat osaavat tarvittaessa mainostaa tukiasemien pitää pystyä mainostamaan eduroam-SSID:n lisäksi muitakin verkkoja. Nykyaikaiset enterprise-tukiasemat kelpaavat lähes poikkeuksetta. Funetin sisällä käytetyimpiä ovat Aruban, Ciscon ja HP:n kontrolleripohjaiset ratkaisut. tä mahdollisten muiden verkkojen lisäksi. Verkkoinfrassa käyttäjät lajitellaan tyypillisesti eri virtuaalilähiverkkoihin (VLAN) sen perusteella, onko kyse omasta vai vierailevasta käyttäjästä.

    ...

    Käyttäjien autentikointia varten tarvitaan RADIUS-palvelin, joka liitetään eduroamin kansainväliseen RADIUS-hierarkiaan Suomen eduroam-juuripalvelinten kautta (Service Provider). Funet  Funet vastaa Suomen juuripalvelusta ja avustaa liitoksessa. Jotta organisaation omat käyttäjät pystyvät kirjautumaan eduroamiin sekä kotiverkossaan että vieraillessaan muissa eduroam-verkoissaverkoissa (Identity Provider), tulee organisaation liittää RADIUS-palvelin omaan käyttäjätietokantaan, jota vasten sen omat käyttäjät autentikoidaan. RADIUS-palvelimina on yleisesti käytössä FreeRADIUS, Radiator ja Microsoftin IAS/NPS. Käyttäjätietokanta voi olla esimerkiksi AD, LDAP tai SQLratkaisut. Funet toimittaa testausvaiheessa määräaikaiset testitunnukset, joilla voi testata eduroam-kirjautumista vierailevan käyttäjän näkökulmasta.

    RADIUS-palvelimelle tarvitaan palvelinvarmenne. Funet-jäsenorganisaatioilla on mahdollisuus hankkia maksuton TERENA:n julkisen varmentajan allekirjoittama varmenne Funet-varmennepalvelun kautta. Myös itse allekirjoitettu varmenne kelpaa.itseallekirjoitettu varmenne kelpaa.

    Anchor
    porttimääreet
    porttimääreet

    eduroam-yhteisö on määrittänyt verkkopalvelut, jotka on oltava saatavilla vierailijoille. Alla Porttimääreet-kohdassa on esitetty portit, jotka on avattava eduroam-vierailijoille. Kyse on minimivaatimuksesta.


    Panel


    Expand
    titlePorttimääreet (näytä/piilota)


    Palvelu

    Protokolla/Portti

    Suunta

    Standard IPSec VPN

    IP protocol 50 (ESP)

    IP protocol 51 (AH)

    UDP port 500 (IKE)

    saapuva ja lähtevä

    saapuva ja lähtevä

    lähtevä

    OpenVPN 2.0

    UDP port 1194

    saapuva ja lähtevä

    IPv6 Tunnel broker service

    IP protocol 41

    saapuva ja lähtevä

    IPSec NAT - Traversal

    UDP port 4500

    saapuva ja lähtevä

    Cisco IPSec VPN over TCP

    TCP port 10000

    lähtevä

    PPTP VPN

    IP protocol 47 (GRE)

    TCP port 1723

    saapuva ja lähtevä

    lähtevä

    SSH

    TCP port 22

    lähtevä

    HTTP

    TCP port 80

    TCP port 443

    TCP port 3128

    TCP port 8080

    lähtevä
    lähtevä
    lähtevä
    lähtevä

    Sähköpostin lähettäminen

    TCP port 465

    TCP port 587

    lähtevä
    lähtevä

    Sähköpostin vastaanottaminen

    TCP port 143

    TCP port 993

    TCP port 110

    TCP port 995

    lähtevä
    lähtevä
    lähtevä
    lähtevä

    FTP (passiivinen)

    TCP port 21

    lähtevä



    Viimeistelevät toimenpiteet

    Kun verkkovierailujärjestelmä on teknisesti käyttökunnossa, tulee vielä huolehtia muun muassa käyttäjäviestinnästä ja tukitoiminnoista. Omia käyttäjiä kannattaa tiedottaa eduroamin olemassaolosta sekä kannustaa ja opastaa sen käyttöönotossa. Päätelaitteiden konfigurointia voi helpottaa merkittävästi luomalla käyttäjille käyttöjärjestelmäkohtaiset helppokäyttöiset eduroam-asennuspaketit. Asennuspakettien luomiseen käytetään käyttöön. Päätelaitteiden konfigurointi on suositeltavaa suorittaa provisiointityökaluilla, joilla saavutetaan yhteensopivat ja tietoturvalliset konfiguraatiot. Funet suosittelee eduroam CAT -työkalua , johon (https://cat.eduroam.org), joka tukee eri alustoja. Funet luo verkkoylläpitäjille pyynnöstä käyttäjätunnukset eduroam CAT -palveluun, johon ylläpitäjä syöttää oman eduroam-verkkonsa tiedot, kuten varmenteen ja autentikointipalvelimen nimen. Tämän jälkeen CAT/geteduroam luo käyttöjärjestelmäkohtaiset asennuspaketit loppukäyttäjien noudettavaksi.

    Ilmoita uusista tai poistuneista eduroam-käyttöpaikoista (katuosoitteen tarkkuudella) Funetille, joka ylläpitää Suomen tietoja kansainvälisessä eduroam-peittokartassa. Karttadatan pohjalta toimii myös eduroam Companion -mobiilisovellus (Android ja iOS), joka löytää GPS-paikannuksen ja karttadatan perusteella käyttäjää lähimpänä olevat eduroam-tukisemattukiasemat. eduroam Sovellusta on hyvä pitää esillä myös kampuksellamarkkinoida myös korkeakoulun eduroam-ohjeistuksen yhteydessä. Funetilta saa eduroam-tarroja kiinnitettäväksi esimerkiksi kampusrakennusten tai luentotilojen sisäänkäyntien yhteyteen. Joissain korkeakouluissa on myös valmisteltu opiskelijatöinä eduroam-aiheisia julisteita. Mielikuvitusta saa käyttää!

    Verkkovierailun toimivuutta kannattaa myös valvoa. Valvonnan toteutuksesta on kirjoitettu muun muassa MobileFunet-työryhmän Parhaat käytännöt -dokumentissa WLAN-verkon infrastruktuuriVertaistukea eduroamiin ja laajemminkin langattomiin verkkoihin liittyvissä asioissa voi hakea MobileFunetin yhteistyöryhmän kautta.

    Dokumentaatio, konfigurointiohjeet ja tuki

    Verkkovierailupalvelu eduroam on kansainvälisesti tunnettu verkkovierailujärjestelmä, joten verkosta internetistä löytyy runsaasti siihen liittyvää materiaalia. Seuraavassa on valikoituja linkkejä hyviksi todettuihin materiaaleihin, ja eduroamiin liittyvissä asioissa voi aina olla yhteydessä myös Funetiin (ota yhteyttä).

    eduroam.org: eduroam policy Policy Service Definition (pdf, eduroamin palvelukuvaus ja politiikka)eduroam.org: eduroam Cookbook (pdf, hyvä opas eduroamiin, sisältää mm. konfigurointiohjeita, johon myös Funet on sitoutunut)

    MobileFunet:  Parhaat käytännöt -dokumentit (oppaita ja konfigurointiohjeita, mm. ladattavat konfiguraatiot FreeRADIUSFreeRADIUSv2-palvelimelle)

    TerenaGeant.org: How to deploy eduroam on-site or on campus (kattava wiki eduroamin käyttöönottoon kampuksella)

    Tietosuojadokumenttipohja eduroam IdP -organisaatioille: Mallilomake tietosuojailmoitukseksi eduroam-käyttäjille (Lomake on malli ja käyttö on täysin organisaation omalla vastuulla)

    Loppukäyttäjäsivusto: www.eduroam.fi

    Vianselvitys

    Jos käyttöönottovaiheessa autentikointiin kuuluva viestinvälitys ei toimi ongelmitta, onglema saattaa olla UDP-fragmentoinnissa. UDP-fragmentointi pitää sallia WLAN-verkon kontrollerilta RADIUS-palvelimelle asti koko matkalla (palomuurit, reitittimet. ym.). Linkillä saattaa olla tyypillisesti esim. MTU-arvo 1500, mutta tavanomaisenkin RADIUS-autentikoinnin aikana paketit saattavat kasvaa tuota suuremmiksi, jolloin fragmentoinnin pitää toimia tai kehykset eivät tule perille ehjinä.

    Jos yksittäisellä käyttäjällä on liittymisongelma syyksi paljastuu hyvin usein väärin syötetty salasanaa, esim. salasanavaihdon yhdeydessä. Muissa tapauksissa on syytä kehoittaa käyttäjää varmistamaan päätelaitteensa konfiguroinnin oikeellisuus ajamalla oman kotiorganisaationsa käyttöjärjestelmäkohtaisen asennuspaketin uudelleen eduroam CAT -työkalusta (https://cat.eduroam.org). Varsinainen asennus yleensä geteduroam-sovelluksen avulla.

    Verkon puolella mahdollisten autentikointiongelmien syyksi paljastuu useimmiten käyttäjätietokantojen toimintahäiriö.