Versions Compared

Old Version 42

changes.mady.by.user Unknown User (tsalmi@csc.fi)

Saved on

compared with

New Version Current

changes.mady.by.user Tomi Salmi

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

eduroam CAT (Configuration Assistant Tool) on paikallisten loppukäyttäjien päätelaitteiden eduroam-ylläpitäjien (esim. organisaatioiden tietohallinto) käyttöön suunnattu työkalu/portaali, jonka avulla voidaan helpottaa eduroamin konfigurointia loppukäyttäjien päätelaitteisiin. CAT-portaaliin voi luoda profiileja, joihin konfiguroinnin helpottamiseksi tehty työkalu. Korkeakoulun verkkoylläpitäjä luo CAT-portaaliin profiilin, johon syötetään organisaatiokohtaiset tiedot ja asetukset, kuten RADIUS-palvelimen nimi, tuetut autentikointitavat, verkkotuen yhteystiedot ja organisaation logo. CAT koostaa asetukset ja varmenteet sisältäviä valmiita asennuspaketteja, joita verkkoylläpito voi jakaa loppukäyttäjilleen haluamallaan tavalla. Portaali löytyy osoitteesta httpnäistä helppokäyttöiset käyttöjärjestelmäkohtaiset asennuspaketit, ja käyttäjät voivat noutaa ne osoitteesta https://cat.eduroam.org. Geant-projektissa kehitetty CAT eteni tuotantoversioon keväällä 2013 ja sitä kehitetään yhä aktiivisesti.

Tuetut alustat

Tällä hetkellä (syksy 2014) CAT tukee seuraavia käyttöjärjestelmiä:

  • MS Windows XP SP3 , Vista, 7, 8 ja 8.1ja uudemmat
  • Apple Mac OS X (Mountain) Lion, Mavericks, YosemiteLion ja uudemmat (10.7+)
  • Apple iPhone, iPad, iPod touchUseat Linux-distrot
  • (Android -tuki (v4.4 .3 KitKat ja uudemmat) tulossa)
  • Useat Linux-jakelut

Ohjeita ja yleisiä kysymyksiä vastauksineen

Ylläpitotunnuksen luonti CAT-portaaliin

Funet-jäsenorganisaatiot eivät pysty rekisteröitymään tarvitsevat CAT-portaaliin itsenäisesti, vaan tarvitsevat järjestelmään kutsun Suomen eduroam-kontaktilta eli Funetilta. Kutsut ovat henkilökohtaisia, eivät organisaatiokohtaisia. Kutsu (sähköpostiviesti, jossa uniikki URL) on voimassa 24 tuntia kerrallaan ja sen käyttämällä Funet-jäsenorganisaation edustaja pääsee luomaan palveluun tunnuksenhenkilökohtaisen käyttäjätilin, joka liittyy kutsujan määrittämän organisaation tämän kotiorganisaation alle (esim. University of Helsinki). Kutsuttu henkilö voi kutsua edelleen uusia ylläpitäjiä oman organisaationsa alle. Koska Haka-kirjautuminen ei ole tällä hetkellä käytettävissä, täytyy CAT-käyttäjätili liittää johonkin sellaiseen autentikointipalveluun, jonka CAT hyväksyy. Esimerkiksi Google ja Facebook kelpaavat (löytyvät organisaatiolistauksen Social-välilehdeltä). Jatkossa ylläpitäjä kirjautuu palveluun näin ollen esim. henkilökohtaisella Google-tunnuksellaan. Menettelytapa ei ole paras mahdollinen, mutta Haka-kirjautuminen saadaan toivottavasti käyttöön lähitulevaisuudessa. Esimerkiksi eduGAIN on tuettuna jo nytliitetään joko eduGAIN-käyttäjätunnukseen tai vaihtoehtoisesti sosiaalisen median autentikaatiopalveluun, kuten Facebook-käyttäjätiliin (Social-välilehti). Suosittelemme eduGAIN-tunnuksen käyttöä, mikäli oma kotiorganisaatio on liittynyt eduGAIN-luottamusverkostoon. Kun käyttäjätili on luotu, palveluun voi kirjautua valitsemalla palvelun pääsivulla osoitteessa http https://cat.eduroam.org/ linkin "eduroam admin: manage your IdP".

Varsinaisten asennuspakettien, eli profiilien luonti on ohjeistettu parhaiten terena.orgin wiki-sivuilta löytyvässä ylläpitäjän oppaassa.

Asennuspakettien jakelu organisaatiossa

Organisaation verkkoylläpito voi tarjota eduroam CAT:n tuottamia asennuspaketteja käyttäjilleen käytännössä kahdella eri tavalla. Verkkoylläpito voi ladata kaikki paketit CAT-portaalista ja jaella niitä käyttäjilleen esimerkiksi oman intranetin kautta. Suositellumpi tapa on tarjota käyttäjille osoite CAT-portaaliin ja ohjeistaa noutamaan asennuspaketit sitä kautta. Näin ollen asennuspaketit pysyvät mukana CAT:n kehityksessä. Loppukäyttäjille kannattaa tarjota linkki, jossa organisaatio on jo määritelty valmiiksi, jolloin käyttäjän tarvitsee valita sivustolla vain valita oman laitteensa käyttöjärjestelmä. Verkkoylläpitäjänä löydät oikean linkin kirjautumalla CAT-portaaliin ja etsimällä oman organisaation organisaatiosi alta kohdan "Organisaation profiilit". Linkki on muotoa https://cat.eduroam.org/?idp=IdPID&profile=profileID, esim. CSC:n osalta https://cat.eduroam.org/?idp=73&profile=208. Ylläpitäjä näkee CAT-portaalin kautta asennuspakettien alustakohtaiset latausmäärät.

...

Voiko CAT:ia hyödyntää muun kuin eduroamin konfiguroimiseen?

Kyllä, tietyin rajoituksin. CAT-profiiliin voi määritellä eduroamin lisäksi myös muita SSID-verkkonimiä, joilla on samat verkkomääritykset kuin eduroamilla. CAT on tehty eduroamia varten, eikä eduroamia voi poistaa profiilista. Jos profiiliin on määritelty eduroamin lisäksi muita verkkoja, ne priorisoidaan verkonvalinnassa eduroamia korkeammalle mikäli päätelaite tämän mahdollistaa. CAT:n Android-versio ei toistaiseksi tue muiden kuin eduroam-SSID:n määrittelyä päätelaitteeseen.

Miten eduroam CAT -työkalua käytetään Android-puhelimissa? Entä Windows Phonessa?

Tuki Androidille versiosta 4.3 eteenpäin on kehitteillä. Vanhempia Android-versioita ei todennäköisesti tulla tukemaan. Vanhempien Android-versioiden tuki puuttuu, koska Androidin ohjelmointirajapinta ei mahdollista tiettyjen tietoturvakriittisten parametrien, kuten varmennettavan autentikointipalvelimen nimen asettamista tietoturvallisella tavalla. Googlen Play storesta löytyy joitain epävirallisia eduroamin konfigurointiohjelmia Androidille, mutta nekään eivät suorita konfigurointia turvallisesti, eikä niiden käyttöä siksi voi suositella4 KitKat eteenpäin tuli CAT-versioon 1.1 toukokuussa 2015. Android-asetustiedoston hyödyntäminen edellyttää erillisen eduroam CAT -sovelluksen lataamista ja asentamista Play Storesta.

Windows Phonen ja RT:n tuki puuttuu, koska Microsoft tukee ainakin toistaiseksi automaattiprovisiointia vain heidän oman hallintasovelluksensa kautta.

...

Ainakin Symantec Endpoint Securityn tiedetään aiheuttavan aiheettoman ilmoituksen aiheuttaneen aiheettomia (ns. false positive) ilmoituksia joissain Windows-koneissa. CAT neuvoo asennuksen aikana, miten asennuksessa tulee tässä tapauksessa jatkaa. Virusilmoitus on siis aiheeton, ns. false positive.Asia korjautui Symantecin päivityksellä syksyllä 2014. Mikäli ongelmia ilmenee muiden tietoturvasovellusten kanssa, kuulemme niistä mielellämme ja raportoimme eteenpäin kehittäjille.

Asennus ei onnistu. Miten toimin ongelmatilanteessa?

CAT-asennuspakettien kanssa on ollut ongelmia hyvin vähän, mutta aina kaikki ei suju suunnitellusti. Esimerkiksi jotkut tietoturvasovellukset saattavat häiritä asennusta, ja sovelluksen tilapäinen sulkeminen yleensä auttaa. Windows-koneessa CAT-asennuksen voi käynnistää komentoriviltä optiolla "-debug=4"-optiolla, joka tallentaa temp-hakemistoon erilliseen tiedostoon tietoa asennuksen kulusta.

Loppukäyttäjän tulee eduroam-asioissa ottaa ensisijaisesti yhteyttä aina oman korkeakoulunsa IT-tukeen. Kotikorkeakoululla on paras tietämys juuri heidän verkossaan tarvittavista asetuksista ja mahdollisista rajoituksista. Funet tarjoaa mielellään IT-tuelle apua eduroam CAT -asioissa, ja välitämme mielellämme myös palautetta sovelluksen kehittäjien suuntaan.

Asennus loppukäyttäjän näkökulmasta (Windows)

Panel
Seuraavassa on kuvasarja asennuksen etenemisestä loppukäyttäjän näkökulmasta. Asennus on tehty Windows Vistaan käyttäen CSC:lle luotua CAT-profiilia ja asennusohjelmaa.

 

Expand
titleAvaa kuvasarja

Kuva 1. Asennuksen aloitus. Ensimmäisessä ruudussa kerrotaan minkä organisaation verkkoon asennuspaketti on tehty sekä ilmoitetaan verkkoylläpidon yhteystiedot.

Kuva 2. Toisessakin ruudussa vielä muistutetaan, että asennusohjelmat ovat organisaatiokohtaisia.

Kuva 3. Oman käyttäjätunnuksen ja salasanan antaminen. Käyttäjänimessä on muistettava @organisaatio.fi-pääte.

Kuva 4. Itse asennus ei kestä montaa sekuntia.

Kuva 5. Asennus on valmis.

Kuva 6. Kannettava yhdisti heti asennuksen jälkeen eduroam-verkkoon automaattisesti.

Käyttöönotto Android-laitteessa

Panel
Android-version toteutus eroaa muiden käyttöjärjestelmien toteutuksesta. Android-laitteeseen on ennen CAT-profiilin lataamista asennettava Googlen Play Storesta maksuton eduroam CAT -sovellus. Huomaa, että Play Storessa saattaa olla myös muiden osapuolten tuottamia eduroam-konfigurointityökaluja. Suosittelemme käyttämään Geantin julkaisemaa ohjelmistoa. CAT-profiilitiedosto avataan tässä sovelluksessa, joka tekee kaikki tarvittavat asetusmääritykset. Lisätietoja seuraavassa.

 

Expand
titleAvaa kuvasarja

Image Added

Kuva 1. eduroam CAT -sovelluksen voi noutaa Googlen Play Storesta maksutta. Klikkaa "Install" ja sovelluksen asennus alkaa. Ladattavan paketin koko on noin 350 kilotavua.

Kun sovellus on asennettu puhelimeen, voidaan hakea organisaatiokohtainen asennustiedosto CAT-palvelusta. Palvelu löytyy verkkoselaimella osoitteesta https://cat.eduroam.org. Luettelosta valitaan oma kotiorganisaatio sekä laitetyyppi, jolle eduroam-asetukset halutaan noutaa. Androidista on valittavana erikseen Android-versiot 4.4 KitKat ja 5.0 Lollipop.

Tehdään valinnat ja aloitetaan lataus. Hetken kuluttua puhelin ilmoittaa ilmoitusalueella latauksen päättyneen. Klikataan ilmoitusta, ja asetustiedoston pitäisi aueta suoraan eduroam CAT -sovelluksessa. Sovellus kysyy eduroam-käyttäjätunnusta ja -salasanaa.

 

Image Added

Kuva 2. Kun käyttäjätunnus ja salasana on annettu, sovellus tekee eduroam-verkon määritykset puhelimeen ja testaa verkon toimintaa. Yllä kaikki on ok ja verkko on valmis käytettäväksi.

 

Image Added

Kuva 3. Asennuksen päätyttyä sovelluksen Status-välilehdeltä näkee tilatietoja yhteydestä.

Aiheesta muualla

TERENAGeant: A guide to eduroam CAT for institution administrators