Puesta en marcha de eduroam en la USJ. Roberto Bazán SISTEMAS DE INFORMACIÓN Área de comunicaciones Marzo 2011

24 

Loading.... (view fulltext now)

Loading....

Loading....

Loading....

Loading....

Texto completo

(1)

Puesta en marcha de eduroam

Puesta en marcha de eduroam

en la USJ

en la USJ

Roberto Bazán Roberto Bazán SISTEMAS DE INFORMACIÓN SISTEMAS DE INFORMACIÓN Área de comunicaciones Área de comunicaciones Marzo 2011 Marzo 2011

(2)

Índice

Situación Wifi de partida. ¿ Qué es eduroam ?

Pasos a seguir:

– Gestiones administrativas:

• Admisión de USJ en el servicio SIR de RedIRIS. • Admisión de USJ en el servicio SCS de RedIRIS. • Solicitud de certificado.

• Alta USJ en eduroam. – Gestiones técnicas:

• Instalación certificados en Radius.

• Desplegar nueva infraestructura Radius. • Desplegar SSID eduroam.

• Pruebas de conectividad.

(3)

Situación Wifi de partida

La USJ dispone de un despliegue de infraestructura Wifi en sus Campus de Villanueva de Gállego (Zaragoza) y en la Escuela de Ingeniería en Walqa (Huesca).

A través de la infraestructura Wifi, se ofrece servicio de acceso a Internet a todos los alumnos y personal que pertenecen a la

Universidad San Jorge.

Solución de autenticación basada en protocolos seguros RADIUS con soporte EAP-TTLS-PAP y EAP-PEAP.

(4)

¿Qué es eduroam?

www.eduroam.es

eduroam (contracción de education roaming) es el servicio mundial de movilidad segura desarrollado para la comunidad académica y de investigación. eduroam persigue el lema "abre tu portátil y estás

conectado".

El servicio permite que estudiantes, investigadores y personal de las intituciones participantes tengan conectividad Internet a través de su propio campus y cuando visitan otras instituciones participantes.

(5)

Pasos a seguir

Adherirse al Servicio de Identidad de RedIRIS SIR. No es imprescindible, aunque es muy recomendable.

Solicitar certificado válido para el servidor Radius a través del Servicio de Certificado de Servidor SCS.

Reestructuración de la infraestructura Radius para dar soporte a la conexión eduroam.

Despliegue de la conexión eduroam en la red Wifi. Verificación del acceso.

(6)

Admisión de USJ en el SIR

SIR: Servicio de Identidad de RedIRIS - http://www.rediris.es/sir/

Necesitamos estar inscritos en el servicio SIR para poder acceder a determinados servicios que proporciona RedIris. Entre ellos, la

solicitud de certificados de servidor. No sirve el acceso por defecto a través de AESIR.

Una vez dentro del servicio SIR, podremos acceder al servicio de Certificado de Servidor (SCS) y proceder a la solicitud de un

certificado para nuestro Radius.

Contacto en RedIRIS: sir@rediris.es

(7)

Modo de conexión a SIR

RedIRIS facilita diferentes tipos de mecanismos para realizar la

autenticación de los usuarios de una institución contra el servicio SIR.  Opciones que facilita RedIRIS para la conexión a SIR:

– A través de un servicio Single Sign ON. – A través de un servicio PAPI.

(8)

Acceso a SIR con conector

Optamos por un acceso mediante aplicación PHP.

La aplicación solicita credenciales de usuario/password y las válida contra el LDAP de la Universidad.

Si la Auth es correcta, la aplicación devuelve al sistema SIR los atributos de usuario y dominio.

RedIRIS entrega la aplicación en diferentes formatos: – Código php

– Código php + formulario – mod_auth_ldap

La aplicación php proporcionada por RedIRIS requiere ciertos retoques antes de su puesta en marcha definitiva.

(9)

Retoques aplicación PHP

 Reconfigurar los parámetros de conexión al LDAP de USJ.

 Además, si queremos posteriormente acceder al servicio de certificados SCS, se requiere que la aplicación envíe los atributos epe y email, para ello se realiza la siguiente modificación en el código inicial que facilita RedIris:

assertion = "mail=".$mail.",ePTI=".$epti.",sPUC=".$spuc.",ePA=".$epa.",sHO=usj.es,ePE=". $epe.",uid=".$netid."@".$asId;

$epe = array("urn:mace:dir:entitlement:common-lib-terms");

Dependiendo del usuario que requiere acceso a SCS: hay que añadirle las URNs que pide el SCS. Por ejemplo, se puede enfocar de la siguiente forma:

// Definicion de atributos

$epa = getRolUser($username);

$epe = array("urn:mace:dir:entitlement:common-lib-terms");

if ($username=="xxxxx") { $epe[] = "urn:mace:rediris.es:entitlement:scs:req"; } $mail = getMail($username);

$epti = sha1($username."SIR");

$spuc = "urn:mace:terena.org:schac:personalUniqueCode:es:rediris:sir:mbid:{sha1}".sha1($mail); // Construccion de la asercion de acuerdo con el formato PAPIv1

// Se usan los datos recogidos del LDAP // La asercion puede extenderse (recogiendo nuevos datos) segun sea necesario //

$assertion = "mail=".$mail.",ePTI=".$epti.",sPUC=".$spuc.",ePA=". $epa.",sHO=usj.es,ePE=".implode("|",$epe).",uid=".$netid."@".$asId;

(10)

Puesta en marcha del conector

El Conector se instala en producción en:

• http://utiles.usj.es/usj-icgpoa/usj-icgpoa.php

La URL es enviada a RedIRIS para que nos añadan a la Federación de Pruebas.

RedIRIS nos envía el siguiente enlace para verificar que el conector envía los atributos de forma correcta:

• http://www.rediris.es/app/sirdemo/demo/sirdemo.php

Se verifica a través de la web anterior que los atributos que envía el conector son correctos.

(11)

Formalizar acceso al SIR

Para formalizar el acceso al SIR se requiere: – Cumplimentar y firmar formulario cuso:

http://www.rediris.es/sir/docs/idp_condiciones_uso_1.0_20080220.pdf

– Enviarlo mediante FAX 95 505 66 27

Posteriormente, RedIRIS nos confirma que hemos sido incluidos en el servicio SIR.

(12)

Acceso servicio SCS

 El acceso a SIR mediante el envio de los atributos adecuados de autentificación nos va a permitir acceder al Servicio de Certificados de Servidores de RedIRIS SCS.

RedIRIS ofrece a través de su servicio SCS la solicitud de certificados de servidor.  Motivo: Instalar en nuestros servidores Radius un certificado válido.

Antes de nada, verificamos si nuestro sistema de autenticación envía los atributos al SIR necesarios para acceder al SCS:

http://www.rediris.es/app/sirdemo/demo/sirdemo.php

Si son correctos se procede a cumplimentar formulario cuso y enviarlo por email y posteriormente correo postal:

http://www.rediris.es/servicio/scs/requisitos.html Quedaremos a la espera de recibir confirmación de RedIRIS.

(13)

Solicitud de certificado

Para solicitar un certificado, en primer lugar debemos registrarnos en:

http://www.rediris.es/scs/isc

Tras el registro, RedIRIS nos notifica que podemos realizar la petición de certificados.

A través del interfaz ISC se nos muestra la opción para la solicitud del CSR, a través de la cual solicitaremos el certificado para nuestro Radius.

(14)

Generación del certificado

Documentación:

www.rediris.es/scs/doc/scs_generate_csr_help.html

Sobre el servidor Radius, ejecutamos el script que indica la documentación para la generación de la clave.

Mandamos la clave generada a través de la aplicación ISC para la emisión del certificado.

Recibimos mediante e-mail los certificados para nuestro servidor Radius.

(15)

Infraestructura Radius

Se define un servidor Radius en la DMZ pública que actuará como Service Provider (SP).

Se definen dos servidores Radius en la zona privada que actuarán como Proveedores de Identidad (IdP).

El IdP permite la autenticación de los usuarios de usj.es y la autorización de todos los usuarios.

El SP actuará de proxy de las peticiones de autenticación que reciba: – Encaminando las peticiones que provengan de usuarios de usj.es

del exterior a los servidores internos radius.usj.es (IdP).

– Encaminando las peticiones que provengan de usuarios no usj.es que se encuentren dentro de USJ a los servidores de RedIRIS.

(16)

Usuario de UNIZAR en USJ

Ej: Persona perteneciente a la institución de UNIZAR visita la USJ  1: El usuario detecta eduroam y se intenta validar.

2: Sus credenciales viajan a los servidores Radius de USJ (IdP) y detectan que el dominio no es @usj.es.

3: Los Radius envían las credenciales usuario@unizar.es a radius-eduroam.usj.es. Esté encamina la petición para el dominio @unizar.es a los servidores Radius de RedIRIS, que a su vez la encaminan a los servidores Radius de UNIZAR.

4: La petición de autenticación llega a los servidores Radius de UNIZAR que autenticarán al usuario y la respuesta de AUTH OK será enviada al servidor Radius de USJ.

 5: SI el Radius de USJ recibe un AUTH OK del Radius de UNIZAR, finalmente autoriza al usuario y lo asigna a una determinada VLAN de acceso.

 En este momento usuario@unizar.es estará conectado a la red eduroam de USJ con acceso a Internet.

(17)

Usuario de USJ en otra

institución

Ej: Persona perteneciente a la USJ visita la UNIZAR.  1: El usuario detecta eduroam y se intenta validar.  2: Sus credenciales viajan a los servidores Radius de UNIZAR y detectan que el dominio no es

@unizar.es, por lo que encaminan la petición a los servidores Radius de RedIRIS.

 3: Los Radius de RedIRIS encaminan @usj.es al servidor Radius SP de USJ, radius-eduroam.usj.es.  4: La petición de autenticación llega a los

servidores Radius (IdP) de USJ que autenticará al usuario y devolverá la respuesta de AUTH OK a los servidores Radius de UNIZAR.

 5: SI el radius de UNIZAR recibe un AUTH OK del Radius de USJ, finalmente UNIZAR autoriza al usuario y le asigna a una determinada VLAN de acceso.

 En este momento usuario@usj.es estará conectado a la red eduroam de UNIZAR con acceso a Internet.

(18)

Configuración Radius

Configuración radius-eduroam.usj.es (SP)

– Se crea el usuario radius-test@usj.es para monitorización del servicio. – Se acuerdan las claves secret con RedIRIS

– Se configura el archivo proxy.conf para redireccionar las peticiones según el dominio.

– Se configura el archivo clients.conf para aceptar peticiones de los Radius clientes de RedIRIS.

Configuración radius.usj.es (IdP).

– Se instala el certificado recibido del servicio SCS.

– Se configura el archivo eap.conf con el nuevo certificado y con soporte EAP-PEAP.

– Se configura clients.conf para soportar peticiones de radius-eduroam.usj.es.

– Se configura proxy.conf para redireccionar peticiones hacia radius-eduroam.usj.es.

Se configuran políticas de acceso entre Radius de RedIRIS y radius-eduroam. Se configuran políticas de acceso entre radius-eduroam.usj.es y radius.usj.es.

(19)

Despliegue SSID eduroam

Configuración controladoras Wifi:

– Se configura el SSID eduroam.

– Se configura soporte cifrado WPA2. – Soporte para las bandas 802.11

a/b/g/n

– La autenticación de usuarios contra Radius+OpenLdap.

– Los usuarios autorizados, se les asigna a la VLAN invitados (311) determinada mediante parámetro LDAP.

– Política de acceso de acuerdo a la VLAN asignada. (Se toma como referencia las recomendaciones de RedIRIS.)

(20)

Puertos a desfiltrar

Se asigna a los usuarios conectados a eduroam a la VLAN 311

Se configura el acceso a Internet de acuerdo a recomendaciones de RedIRIS:

• http://wiki.rediris.es/eduroam/Recomendaci %C3%B3n_de_puertos_a_desfiltrar

(21)

Pruebas del servicio

Pruebas propias de conectividad:

– Nos conectamos con “usuario@usj.es” desde dentro y fuera de la USJ.

– La configuración cliente mediante EAP-PEAP y certificado: • Se valida certificado y servidor radius.usj.es

– Se prueba con diferentes S.Os (Windows, Linux, Mac, Symbian, RIM)

Se prueba con RedIRIS la conectividad:

– Se prueba la autentificación con usuario prueba@usj.es desde RedIRIS.

– La configuración cliente mediante EAP-PEAP y certificado. – Se prueba la autentificación con usuario testusj@rediris.es

(22)

Web y manuales

RedIRIS nos comunica que se debe disponer de un espacio en la Web donde se defina el servicio eduroam y cobertura que ofrece nuestra Universidad.

Se crea el espacio Web del servicio eduroam.

• www.usj.es/servicios_tic (Apartado Servicios Wifi)  Se crean los diferentes manuales para los S.Os soportados:

– Windows 7, XP – Ubuntu

– MAC OS – Symbian

(23)

Alta en eduroam

Se envia el enlace de la web del servicio Wifi a RedIRIS. RedIRIS nos confirma que oficialmente estamos unidos a eduroam:

(24)

Sistemas de Información

Sistemas de Información

Roberto Bazán Roberto Bazán Sistemas de Información Sistemas de Información Área de Comunicaciones Área de Comunicaciones Abril 2011 Abril 2011

Figure

Actualización...

Related subjects :