Ассоциация УРАН

eduroam -
Wi-Fi роуминг для пользователей национальных научно-образовательных сетей

"Откройте ваш ноутбук и будьте онлайн!"

eduroam (education roaming, образоветельный роуминг) - это защищенный доступ к сети Wi-Fi, который разработан для международной научно-образовательного сообщества и доступен по всему миру. Технически это федеративная служба аутентификации, которая позволяет пользователям из учреждений, участвующих в федерации, получать безопасный доступ к Wi-Fi сети, используя свои стандартные логин / пароль, так же, как они это делают для получения беспроводного доступа в своем «домашнем» заведении. После начальной конфигурации мобильного устройства eduroam может позволить пользователю доступ без необходимости вводить какие-то дополнительные данные, а просто открыв свой ноутбук или активировав мобильное устройство, и если его Wi-Fi адаптер включен, он будет подключаться к eduroam, аутентифицируясь и авторизуя доступ к сети.

Для підтримки впровадження eduroam університету-користувачу мережі УРАН за його запитом можуть бути надані WiFi точки доступу Mikrotik cAP ac. Обладнання передається без додаткової оплати в тимчасове використання на період дії договору.

Іншим університетам точки доступу можуть надаватися при укладанні договору про підключення до пакету сервісів мережі УРАН.

Див. інструкцію по впровадженню eduroam в науково-освітній установі на базі WiFi точок доступу Mikrotik

Хот-споты eduroam можно найти по всему миру. См. карту покрытия eduroam с указанием точных мест их расположения.

eduroam является примером федерации удостоверения, членами которой являются национальные научно-образовательные телекоммуникационные сети (NREN) и подключенные к ним заведения (университеты, школы, библиотеки, научно-исследовательские центры и т.д.). Это означает, что все эти учреждения взаимно доверяют друг другу: если пользователь имеет действующий аккаунт в одном из учреждений, ему будет разрешен доступ к сети во всех других учреждениях федерации удостоверения.

eduroam в Европе обеспечивается в каждой стране соответствующей национальной научно-образовательной сетью (NREN); в Украине это УРАН.

Преимущества, приобретаемые вашей организацией, и повышение производительности труда персонала службы поддержки IT

With eduroam, your campus becomes more attractive as a venue for meetings and conferences, as it allows participants to access the network without assistance, and without tying up your facilities.

The cost of implementing and maintaining eduroam is modest. The service results in significant cost savings through reduced IT department workload:

  • eduroam provides a single solution that accommodates all the mobile connectivity requirements of an institution, supporting
    1. local users connecting to the local network,
    2. visitors connecting to the local network and
    3. local users connecting to other participating networks.
       
  • eduroam removes the need to supply temporary accounts to visiting users, so reducing the administrative and support burden imposed by the ever-growing movement of students and researchers between institutions and countries.
Базовые принципы eduroam

There are a few 'basics' that should be understood by operators and users of eduroam:

  1. The main purpose of eduroam is to provide automatic network access to R&E users when they travel from their 'home' institution to other R&E institutions. This is achieved by all institutions broadcasting a common SSID, "eduroam", which is configured in the institution's wireless infrastructure to trigger remote authentication of visitors and local authentication of the institution's own users (the protocol used is IEEE 802.1x). Users configure their mobile devices for automatic connection to the "eduroam" SSID, and specify their eduroam username as <institutional_username>@<institutional_realm>. The <institutional_realm> component of the username is used by eduroam infrastructure to route the authentication request to the user's home institution.
     
  2. User's credendials remain secret between the user's device (where the eduroam username and home institution password are entered) and the user's home institution, through use of an encrypted tunnel between them to transfer the user's credentials. The encrypted tunnel is created between user device and home institution as the first stage of eduroam remote authentication. The second stage is the actual user authentication via the tunnel.
     
  3. There are two roles that institutions have in participating in eduroam. The 'Service Provider' (SP) role involves providing access to the institution's network by virtue of a visitor's remote authentication via eduroam infrastructure. The 'Identity Provider' (IdP) role involves the institution authenticating their users remotely via the eduroam infrastructure.
     
  4. The eduroam SP role, i.e. providing network access to visitors, relies on the institution's existing network infrastructure. Typically, the 'eduroam' network access is understood to mean wireless network access. Institutions can also use eduroam for providing wired network access to visitors, however this is relatively uncommon. A pre-requisite to eduroam participation is that SP institutions have fully operational wireless network infrastructure.
     
  5. In order for eduroam to provide 'automatic network access', users need to configure their devices for automatic 'connection' to the "eduroam" SSID. There are two parts to this. First, connection across the wireless network to the visited institutions wireless access points. The wireless encyption used is "WPA2-Enterprise" ( IEEE 802.1x + CCMP/AES) - by eduroam global policy this must be supported by institutions. The second part of the 'connection' is remote authentication by the user's home institution. Authentication uses a secure tunnel to protect credentials from being exposed, and the two prevalent protocols are PEAP/MSCHAPv2 or TTLS/PAP. The authentication protocol is specific to the home institution.
     
  6. As authentication configuration is home institution specific, it is strongly recommended that users configure their eduroam connection while on their home institution campus. If issues are encountered, request assistance from local IT support. If you wait until you travel before configuring connection to eduroam, your local support may not be able to assist due to visited institution issues which are of course outside the home institution support staff's scope of visibility.
eduroam managed IdP - техническое решение для небольших организаций

Для разворачивания полнофункционального сервиса eduroam организация должна осуществить ряд технических и организационных мероприятий, которые требуют дополнительных финансовых, людских и временных ресурсов:

  1. внедрить определенный набор программно-аппаратных средств, в частности, развернуть программный сервер (RADIUS-сервер), который будет осуществлять авторизацию. На приобретение сервера нужны дополнительные средства, а настройка программного обеспечения требует дополнительного обучения технического персонала специальным знаниям и навыкам;
     
  2. в дальнейшем вести базу данных пользователей, прописывая их пароли и логины. Это требует дополнительных затрат рабочего времени IT-специалистов.

Для небольших научно-образовательных учреждений, где количество пользователей исчисляется несколькими десятками, это составляет проблему, часто непреодолимую.

Чтобы облегчить подключение к eduroam небольших организаций GÉANT разработал сервис eduroam managed IdP. Это веб-портал, содержащий страницу доступа для небольшого учреждения. На этой странице представитель учреждения сам вводит данные об организации и начинает создавать базу данных своих пользователей, а те уже сами авторизуются в системе eduroam. Единственное ограничение - не более 200 пользователей на учреждение. При этом нет необходимости покупать и настраивать RADIUS-сервер.

Точек доступа eduroam в данном заведении не будет, но его сотрудники смогут пользоваться eduroam везде, где такие точки доступа уже есть.

Если же учреждение со временем решит установить точку доступа у себя, то Ассоциация УРАН может подключить его к своему RADIUS-серверу, и тогда это учреждение сможет и у себя авторизовать eduroam-пользователей.

За консультациями обращайтесь в технический отдел УРАН по электронному адресу

Подробнее см. eduroam.uran.ua и www.eduroam.org.