Versions Compared

Old Version 14

changes.mady.by.user Unknown User (tsalmi@csc.fi)

Saved on

compared with

New Version 15

changes.mady.by.user Unknown User (tsalmi@csc.fi)

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...


Kehittyneimpiin valvontamenetelmiin kuuluu valvonnan hoitaminen vastaavalla viestinvälityksellä kuin käyttäjän suplikantti. Toinen vaihtoehto on käyttää tähän tarkoitukseen pelkkiä RADIUS-autentikointipyyntöjä, mutta tässä tapauksessa mm. varmenteen tiedot jää tarkistamatta. Palvelimen toiminnan tarkistaminen suplikantin näkökulmasta voidaan hoitaa WPA-suplikantin eapol_test -ohjelmalla. eapol_test -ohjelma voidaan liittää ainakin Nagiokseen sekä Helsingin Yliopistossa käytettyyn valvontaohjelmistoon Big Sisteriin. Ohjelman avulla voidaan toteuttaa mm. PEAP-MSCHAPv2, TTLS-MSCHAPv2 sekä TTLS-PAP -menetelmien valvonta.

Funet-verkon verkkovierailun reaaliaikaisen tilanteen havaitsemiseksi on kehitetty eapol_test -ohjelmaan perustuva valvonta, jonka tulokset esitetään [[https://info.funet.fi/cgi-bin/funet-services-roaming-availability][info.funet.fi:ssa]]. Valvonnassa ovat organisaation toteutuneista menetelmistä riippuen yksi tai useampi seuraavista menetelmistä: PEAP-MSCHAPv2, TTLS-MSCHAPv2 ja/tai TTLS-PAP. Lisää palvelimia liitetään mielellään palveluun, mutta tätä varten Funet tarvitsee voimassa olevan käyttäjätunnuksen ja salasanan sekä tietoa palvelimen varmenteesta. Kun kaikkien kolmen menetelmän avulla toteutettu autentikointi onnistuu, tulos on kuvan 1 mukainen.

Image RemovedImage Added

Kuva 1. Verkkovierailun valvonta. Esimerkkinä CSC:n autentikointipalvelimen tulokset.

Funet-jäseniä kehoitetaan valvomaan omia palvelimia vähintään RADIUS-autentikointipyynnöillä mutta mielellään WPA-suplikantin eapol_test-ohjelman avulla. eapol_testin installointiohjeet (EAP)autentikointimenetelmien konfigurointitietoineen löytyvät netistä. CSC/Funet on eapol_test-ohjelman ympärille kehittänyt tarkistusskripti nimellä check_eapauth, jonka Debian/Ubuntu- ja RHEL/CentOS-paketit löytyvät liitteestä. check_eapauth -skriptille on parametreina annettava kaksi tiedostoa, joista toinen on eapol_testin installointiohjeista löytyvä .conf-tiedosto, esimerkiksi peap-mschapv2.conf. Toinen on tiedosto, missä on verkkovierailussa käytettävän palvelimen IP-osoite ja jaettu salaisuus seuraavassa muodossa:

...