Eduroam na UK Ladislav Fikais fikais cuni cz Ústav

Eduroam na UK Ladislav Fikais fikais@cuni. cz Ústav výpočetní techniky Univerzita Karlova v Praze

Připojené lokality • Rektorát UK • Filozofická fakulta UK • Areál UK Jinonice (spravuje ÚVT UK) • Právnická fakulta UK (spravuje PPT Pr. F UK) - http: //eduroam. prf. cuni. cz • Farmaceutická fakulta UK v HK (spravuje ÚVT Fa. F UK HK) - http: //www. faf. cuni. cz

Historie • 2. Q 2004 - Diskuse o dokumentu “roamingová politika„ • 3. Q 2004 - Začátek pilotního projektu • 11/2004 - IPSec spojení na národní RADIUS servery CESNETu • 12/2005 - Dolaďování NAS (systém pro ověření přes WWW stránky) • 01/2005 - Propojení na RADIUS server Pr. F, příprava testovacího provozu • 02/2005 - Web http: //eduroam. cuni. cz, přechod na „sekundární hesla” • 1. 3. 2005 - Spuštění testovacího provozu, dolaďování NASu, ACL • 1. 4. 2005 - Přechod na ostrý provoz • 04/2005 - Monitoring dostupnosti RADIUS serveru na přihlašovací stránce

Uživatelé Dvě domény (Active Directory): • UVTUK (uvtuk. cuni. cz) - rektorát UK - 300 uživatelů (zaměstnanci), eduroam: 27 • JINONICE (jinonice. cuni. cz) - zaměstnanci FF, FHS, COZP, . . . - 1285 uživatelů; eduroam: 28 - studenti FF, FHS, FSV, . . . - 13345 uživatelů (4335 aktivních); eduroam: 315

Pokrytí • Rektorát (Ovocný trh 3/5, Celetná 13 a 20, Praha 1) 14 x Cisco Wi. Fi (AIR-AP 1121 G-E-K 9, AIR-AP 1231 G-E-K 9) 7 x zásuvka RJ 45 (10/100 Mbps) • Filozofická fakulta (Nám. J. Palacha 2, Hybernská 3, Praha 1) 2 x Cisco Wi. Fi (AIR-AP 1121 G-E-K 9), 2 x Orinoco (jen eduroam-simple) 27 x zásuvka RJ 45 (10/100 Mbps) • Areál UK Jinonice (U Kříže 8 a 10, Praha 5) 3 x Cisco Wi. Fi (AIR-AP 1121 G-E-K 9) 3 x zásuvka RJ 45 (10/100 Mbps) + HUB v učebnách (10 Mbps)

AAI default (. *@. *) CESNET radius 1 Pr. F UK radiusator (@prf. cuni. cz) CESNET radius 2 @uvtuk. cuni. cz @jinonice. cuni. cz @prf. cuni. cz Jinonice radius 1 (default. *@. *) Ruk radius (@uvtuk. cuni. cz) Ruk (UVTUK) DC 1 RADIUS w/ IPSec RADIUS LDAPS Ruk (UVTUK) DC 2 Jinonice zizala (@jinonice. cuni. cz) Jinonice (JINONICE) DC 1 Jinonice (JINONICE) DC 2

eduroam na UK v Praze VLAN 947, 948 FF UK - Wi. Fi AP a zásuvky RJ 45 Pr. F UK radiusator Právnická fakulta UK VLAN 947 VLAN 948 PASNET Ruk radius Filozofická fakulta UK Ruk firewall PIX 506 E Jinonice radius 1 VLAN 945, 946 VLAN 948, 947 RUK - Wi. Fi AP a zásuvky RJ 45 Rektorát UK Jinonice zizala Jinonice - Wi. Fi AP a zásuvky RJ 45 CESNET UK Jinonice

Funkce serverů RADIUS - Ověřuje dotazy na realm @uvtuk. cuni. cz v LDAPu AD - DHCP pro sítě VLAN 945 -948 (2 x eduroam a 2 x eduroam-simple) - NAS (ovládání iptables na základě přihlášení na WWW stránce) - Aplikace pro nastavování „sekundárních hesel“ pro eduroam - Předávání dotazů na realm @prf. cuni. cz na radiusator. prf. cuni. cz RADIUS 1 - IPSec v transportním režimu na národní RADIUS servery CESNETu - RADIUS brána mezi UK a CESNETem ZIZALA - Ověřuje dotazy na realm @jinonice. cuni. cz v LDAPu AD

http: //eduroam. cuni. cz

http: //user. eduroam. cuni. cz

Zkušenosti z provozu • Uživatelé nečtou návody (známá věc), ani krátké informace před přihlášení! • Většina uživatelů se připojuje jen na SSID eduroam-simple, nebo na ethernetové zásuvky s autentizací přes WWW stránku. • Velmi málo uživatelů si umí nastavit připojení bez pomoci technické podpory. • V důsledku bodu jedna se hodně uživatelů snaží přihlašovat s nesmyslnými uživatelskými jmény (např. jméno_příjmení@něco, uzivatelske_jmeno@něco, Jméno. Příjmení, něco@seznam. cz, apod. ) – opisují vzory. • V důsledku bodu jedna si nenastaví heslo a snaží se použít „primární heslo“. • V důsledku bodu jedna zavírají přihlašovací okno, diví se, že spojení nevydrží.

Děkuji za pozornost. http: //eduroam. cuni. cz fikais@cuni. cz