Асоціация УРАН

Послуга eduroam -
Wi-Fi роумінг для користувачів національних науково-освітніх мереж

"Відкрийте ваш ноутбук і будьте онлайн!"

eduroam - це федеративна служба автентифікації, яка дозволяє користувачам з установ, що беруть участь у федерації, отримувати безпечний доступ до Wi-Fi мережі, використовуючи свої стандартні логін/пароль, так само, як вони це роблять для отримання бездротового доступу в своєму «домашньому» закладі. Після початкової конфігурації мобільного пристрою, eduroam може дозволити користувачеві доступ без необхідності вводити якісь додаткові дані, а просто відкривши свій ноутбук або активувавши мобільний пристрій, і якщо його Wi-Fi адаптер включений, він буде підключатися до eduroam, автентифікуватися і авторизувати доступ до мережі.

Хот-споти eduroam можна знайти по всьому світу. Див. карту покриття eduroam із зазначенням точних місць їх розташування.

eduroam є прикладом федерації посвідчення, членами якої є національні науково-освітні телекомунікаційні мережі (NREN) і підключені до них заклади (університети, школи, бібліотеки, науково-дослідні центри тощо). Це означає, що всі ці установи взаємно довіряють один одному: якщо користувач має діючий акаунт в одній з установ, йому буде дозволений доступ до мережі у всіх інших установах федерації посвідчення.

eduroam в Європі забезпечується в кожній країні відповідною національною науково-освітньою мережею (NREN); в Україні це УРАН.


Переваги, яких набуває установа, та підвищення продуктивності праці персоналу служби підтримки ІТ

З eduroam кампус установи стає більш привабливим як місце для проведення зустрічей і конференцій, оскільки це дозволяє всім учасникам отримати доступ до мережі без сторонньої допомоги.

Вартість впровадження і підтримки eduroam є незначною, в той же час її результатом є суттєве зниження робочого навантаження ІТ-відділу, оскільки


Базові принципи eduroam

Є кілька принципів, які повинні враховуватись операторами і користувачами eduroam:

  1. Основною метою eduroam є забезпечення автоматичного доступу до мережі для користувачів наукових та освітніх установ, коли вони подорожують зі своєї «домашньої» установи в інші науково-освітні установи. Це досягається за рахунок розпровсюдження всіма установами єдиного ідентифікатору SSID для найменування Wi-Fi мережі, "eduroam", який налаштований в бездротовій інфраструктурі установи для запуску віддаленої автентифікації відвідувачів і локальної автентифікації власних користувачів даної установи (протокол, що використовується - IEEE 802.1x). Користувачі налаштовують свої мобільні пристрої для автоматичного підключення до мережі з SSID "eduroam" і зазначають свій логін в eduroam як <institutional_username>@<institutional_realm>. Компонент логіну <institutional_realm> використовується eduroam-інфраструктурою для маршрутизації запиту автентифікації в «домашній» заклад користувача.
     
  2. Облікові дані користувача зберігаються в таємниці при передачі між пристроєм користувача (де вводяться логін eduroam і пароль в «домашній» установі) і «домашнім» закладом користувача, завдяки використанню шифрованого тунелю між ними, щоб передати облікові дані користувача. Зашифрований тунель створюється між пристроєм користувача і «домашньою» установою як перший етапу віддаленої автентифікації eduroam. Другим етапом є власне автентифікація користувача через цей тунель.
     
  3. Є дві ролі, які мають установи, що беруть в участь в eduroam. Роль "Постачальника послуг" (Service Provider, SP) передбачає надання доступу до мережі установи користувачам з інших установ на підставі їх віддаленої автентифікації через eduroam-інфраструктуру. Роль "Постачальника посвідчень" (Identity Provider, IdP) передбачає віддалену автентифікацією установою своїх користувачів через eduroam-інфраструктуру.
     
  4. Роль eduroam SP, тобто надання доступу відвідувачам до мережі, спирається на існуючу мережеву інфраструктуру установи. Як правило, доступ до мережі "eduroam" розуміється як Wi-Fi доступ до мережі. Установи можуть також використовувати eduroam для забезпечення доступу відвідувачам до дротової мережі, проте це порівняно нетипово. Необхідною умовою для участі в eduroam є те, що установи-SP мають повністю працездатну Wi-Fi мережеву інфраструктуру.
     
  5. Для того, щоб eduroam забезпечував «автоматичний доступ до мережі», користувачі повинні налаштувати свої пристрої для автоматичного підключення до мережі з SSID "eduroam". Це має два аспекти. По-перше, підключення по Wi-Fi мережі до хот-спотів у відвідуваних установах. Використовується бездротове шифрування "WPA2-Enterprise" (IEEE 802.1x + CCMP / AES) - згідно з глобальною політикою eduroam це повинно підтримуватись установами. Другим аспектом з'єднання є віддалена автентифікація «домашнім» закладом користувача. Автентифікація використовує захищений тунель для захисту облікових даних від розкриття, а двома протоколами, що переважно використовуються, є PEAP / MSCHAPv2 або TTLS / PAP. Протокол автентифікації є специфічним для кожної конкретної «домашньої» установи.
     
  6. Оскільки конфігурація автентифікації є специфічною для для кожної конкретної «домашньої» установи, нагально рекомендується, щоб користувачі налаштували своє підключення до eduroam, перебуваючи на території своєї «домашньої» установи. Якщо трапляться проблеми, зверніться за допомогою до локальної служби підтримки ІТ. Якщо ви будете чекати самої подорожі, щоб налаштувати підключення до eduroam, ваша локальна служба підтримки, можливо, буде не в змозі вам допомогти внаслідок особливостей налаштування у відвідуваній установі, які, зазвичай, є поза межами видимості персоналу служби підтримки «домашньої» установи.

Детальніше див. eduroam.uran.ua та www.eduroam.org.