• Created by Unknown User (tsalmi@csc.fi), last modified on Feb 27, 2014

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 34 Next »

eduroam CAT (Configuration Assistant Tool) on paikallisten eduroam-ylläpitäjien (esim. organisaatioiden tietohallinto) käyttöön suunnattu työkalu/portaali, jonka avulla voidaan helpottaa eduroamin konfigurointia loppukäyttäjien päätelaitteisiin. CAT-portaaliin voi luoda profiileja, joihin syötetään organisaatiokohtaiset tiedot ja asetukset, kuten RADIUS-palvelimen nimi, tuetut autentikointitavat, verkkotuen yhteystiedot ja organisaation logo. CAT koostaa asetukset ja varmenteet sisältäviä valmiita asennuspaketteja, joita verkkoylläpito voi jakaa loppukäyttäjilleen haluamallaan tavalla. Portaali löytyy osoitteesta http://cat.eduroam.org. Geant-projektissa kehitetty CAT eteni tuotantoversioon keväällä 2013 ja sitä kehitetään yhä aktiivisesti.

Tuetut alustat

Tällä hetkellä (syksy 2013) CAT tukee seuraavia käyttöjärjestelmiä:

  • MS Windows XP SP3, Vista, 7, 8 ja 8.1
  • Apple Mac OS X Mavericks, (Mountain) Liona
  • Apple iPhone, iPad, iPod touch
  • Useat Linux-distrot
  • (Android-tuki v. 4.3- tulossa)

Seuraava matriisi kuvaa CAT-asennuohjelmien tukea eri käyttöjärjestelmien ja EAP-autentikointitapojen välillä. Vihreä soluväri tarkoittaa tuettua ja suositelluinta vaihtoehtoa, sininen tuettua ja punainen ei-tuettua. (Kuva: terena.org)

Ohjeita ja yleisiä kysymyksiä vastauksineen

Ylläpitotunnuksen luonti CAT-portaaliin

Funet-jäsenorganisaatiot eivät pysty rekisteröitymään CAT-portaaliin itsenäisesti, vaan tarvitsevat kutsun Suomen eduroam-kontaktilta eli Funetilta. Kutsut ovat henkilökohtaisia, eivät organisaatiokohtaisia. Kutsu (sähköpostiviesti, jossa uniikki URL) on voimassa 24 tuntia kerrallaan ja sen käyttämällä Funet-jäsenorganisaation edustaja pääsee luomaan palveluun tunnuksen, joka liittyy kutsujan määrittämän organisaation alle (esim. University of Helsinki). Kutsuttu henkilö voi kutsua edelleen uusia ylläpitäjiä oman organisaationsa alle. Koska Haka-kirjautuminen ei ole tällä hetkellä käytettävissä, täytyy CAT-käyttäjätili liittää johonkin sellaiseen autentikointipalveluun, jonka CAT hyväksyy. Esimerkiksi Google ja Facebook kelpaavat (löytyvät organisaatiolistauksen Social-välilehdeltä). Jatkossa ylläpitäjä kirjautuu palveluun näin ollen esim. henkilökohtaisella Google-tunnuksellaan. Menettelytapa ei ole paras mahdollinen, mutta Haka-kirjautuminen saadaan toivottavasti käyttöön lähitulevaisuudessa. Esimerkiksi eduGAIN on tuettuna jo nyt. Kun käyttäjätili on luotu, palveluun voi kirjautua valitsemalla palvelun pääsivulla osoitteessa http://cat.eduroam.org/ linkin "eduroam admin: manage your IdP".

Varsinaisten asennuspakettien, eli profiilien luonti on ohjeistettu parhaiten terena.orgin wiki-sivuilta löytyvässä ylläpitäjän oppaassa.

Asennuspakettien jakelu organisaatiossa

Organisaation verkkoylläpito voi tarjota eduroam CAT:n tuottamia asennuspaketteja käyttäjilleen käytännössä kahdella eri tavalla. Verkkoylläpito voi ladata kaikki paketit CAT-portaalista ja jaella niitä käyttäjilleen esimerkiksi oman intranetin kautta. Suositellumpi tapa on tarjota käyttäjille osoite CAT-portaaliin ja ohjeistaa noutamaan asennuspaketit sitä kautta. Näin ollen asennuspaketit pysyvät mukana CAT:n kehityksessä. Loppukäyttäjille kannattaa tarjota linkki, jossa organisaatio on jo määritelty valmiiksi, jolloin käyttäjän tarvitsee vain valita oman laitteensa käyttöjärjestelmä. Verkkoylläpitäjänä löydät oikean linkin kirjautumalla CAT-portaaliin ja etsimällä oman organisaation alta kohdan "Organisaation profiilit". Linkki on muotoa https://cat.eduroam.org/?idp=IdPID&profile=profileID, esim. CSC:n osalta https://cat.eduroam.org/?idp=73&profile=208. Ylläpitäjä näkee CAT-portaalin kautta asennuspakettien alustakohtaiset latausmäärät.

Miksi asennusohjelma luo Windowsiin myös WPA/TKIP-profiilin?

Vaikka omassa organisaatiossa olisi tuettuna nykyisten suositusten mukainen WPA2/AES, saattaa käyttäjä silti vierailla sijainneissa, joissa on vain WPA/TKIP-tuki. Tämän vuoksi asennusohjelma luo kaksi eri profiilia, jotta käyttäjä pääsee verkkoon myös vanhemman eduroam-politiikan käyttöpaikoissa. Koska WPA/TKIP ei ole enää uuden eduroam-politiikan mukaisesti sallittu, tullaan sen tuki poistamaan myös eduroam CAT:sta lähitulevaisuudessa. Tämän hetken suunnitelma on, että tuki lakkaa vuoden 2014 alusta, eli vuodesta 2014 alkaen CAT-asennusohjelmat eivät enää tuota WPA/TKIP-profiilia. Muutos vaikuttaa käytännössä Windows- ja Linux-asennuspaketteihin. Apple-paketit asentavat jatkossakin sekä WPA- että WPA2-tuen.

Miksi CAT ei tue Androidia ja Windowsin mobiilikäyttöjärjestelmiä?

Tuki Androidille versiosta 4.3 eteenpäin on kehitteillä. Tuki on tulossa arviolta keväällä 2014. Vanhempia Android-versioita ei todennäköisesti tulla tukemaan. Vanhempien Android-versioiden tuki puuttuu, koska Androidin ohjelmointirajapinta ei mahdollista tiettyjen tietoturvakriittisten parametrien, kuten varmennettavan autentikointipalvelimen nimen asettamista tietoturvallisella tavalla. Googlen Play storesta löytyy joitain epävirallisia eduroamin konfigurointiohjelmia Androidille, mutta nekään eivät suorita konfigurointia turvallisesti, eikä niiden käyttöä siksi voi suositella.

Windows Phonen ja RT:n tuki puuttuu, koska Microsoft tukee ainakin toistaiseksi automaattiprovisiointia vai heidän oman hallintasovelluksensa kautta.

Asennus loppukäyttäjän näkökulmasta

Seuraavassa on kuvasarja asennuksen etenemisestä loppukäyttäjän näkökulmasta. Asennus on tehty Windows Vistaan käyttäen CSC:lle luotua CAT-profiilia ja asennusohjelmaa.

 

Kuva 1. Asennuksen aloitus. Ensimmäisessä ruudussa kerrotaan minkä organisaation verkkoon asennuspaketti on tehty sekä ilmoitetaan verkkoylläpidon yhteystiedot.

Kuva 2. Toisessakin ruudussa vielä muistutetaan, että asennusohjelmat ovat organisaatiokohtaisia.

Kuva 3. Oman käyttäjätunnuksen ja salasanan antaminen. Käyttäjänimessä on muistettava @organisaatio.fi-pääte.

Kuva 4. Itse asennus ei kestä montaa sekuntia.

Kuva 5. Asennus on valmis.

Kuva 6. Kannettava yhdisti heti asennuksen jälkeen eduroam-verkkoon automaattisesti.

Aiheesta muualla

TERENA: A guide to eduroam CAT for institution administrators

  • No labels