eduroam (z anglického Education Roaming) je počítačová infrastruktura pro transparentní používání sítí univerzit a jiných vzdělávacích institucí. Myšlenka vznikla na půdě TERENA (Trans-European Research and Education Networking Association).

Cílem je takové propojení sítí všech účastníků, že uživatel jedné sítě se může pod svým účtem (udržovaným v domovské síti) připojit do libovolné z nich. Důsledkem pak je stejně jednoduché používání jako v případě mobilního roamingu.

Technicky je přihlašování účastníků řešeno pomocí RADIUS serverů. V České republice projekt zaštiťuje sdružení CESNET, které se v projektu angažuje od samého počátku jako koordinátor a propagátor aktivit související s počítačovým roamingem nejen v Česku, ale i v ostatních evropských zemích (Portugalsko, Velká Británie, Belgie, Francie, Německo, Chorvatsko, Maďarsko a Polsko). Logo projektu vytvořil známý český autor knih Pavel Satrapa. Kromě Evropy je do sítě zapojena také Austrálie, Čína, Hongkong, Japonsko, Kanada, Tchaj-wan a USA.

Technologie

editovat

Eduroam poskytuje uživatelům (výzkumníkům, učitelům a studentům) přístup k internetu pomocí svých domovských přihlašovacích údajů v jakékoli instituci po celém světě, která je zapojena do sítě eduroam.[1] To znamená, že uživatel má jen jedinou identitu, která jej opravňuje k přístupu ke všem sítím participujícím v eduroam. Služba eduroam vznikla z myšlenky spojení infrastruktury založené na protokolu RADIUS s protokolem IEEE 802.1x pro roamingový internetový přístup mezi evropskými institucemi.[2] V eduroam je důvěryhodný vztah mezi uživatelem a IdP (identity provider) zajištěn pomocí vzájemné autentizace. Poskytovatelé identity (IdP) a poskytovatelé služeb (SP – service provider) si navzájem důvěřují pomocí hierarchie RADIUS.[1]

Autentizace

editovat

Autentizace probíhá na bázi protokolů IEEE 802.1x a EAP. Klient se připojí na port zařízení, který je ve stavu „zavřeno“ a povolen je pouze autentizační protokol EAP (extensible authentication protocol). Když klient požádá o autentizaci, suplikant zahájí ověření přes EAP protokol. Vyšle žádost o autentizaci na AP (access point), který naváže spojení na RADIUS server a ověří suplikant vůči serveru. Je-li uživatel lokální, ověření probíhá přímo na RADIUS serveru, se kterým AP komunikuje; v opačném případě je žádost transportována přes strukturu RADIUS serverů až na domácí síť uživatele. Tento mechanismus umožňuje mimo otevření a zavření portu také přepnutí do určité VLANy, tzn. klient může dostat přístup do určité sítě, např. do sítě pro hosty.[3]

Ověřování

editovat

Při ověřování je důležitá hierarchická struktura RADIUS serverů. Využívá se 3 úrovní RADIUS proxy serverů – Top-level server, národní RADIUS server a RADIUS server institucí.[1] Každá instituce využívající eduroam má svůj RADIUS server, který umožňuje ověřit uživatele z této instituce. RADIUS servery institucí jsou připojeny k národnímu serveru RADIUS dané země a díky němu dochází k předávání žádostí o ověření mezi institucemi. Stejně tak na Top-level server jsou napojeny národní RADIUS servery všech zemí zapojených do eduroam.[3]

Reference

editovat
  1. a b c TEKENI LUZUKO, BOTHA REINHARDT, THOMPSON KERRY-LYNN. A Multi-faced Model for IP-based Service Authorization in the Eduroam Network [online]. 2015. Dostupné online. 
  2. WIERENGA K., WINTER S., WOLNIEWICZ S. The eduroam Architecture for Network Roaming [online]. 2015. Dostupné online. 
  3. a b eduroam v rámci české NREN [eduroam.cz]. www.eduroam.cz [online]. [cit. 2023-04-27]. Dostupné online. 

Externí odkazy

editovat