Заметка сотрудника консорциума GÉANT по тематике организационно-технического взаимодействия проектов eduroam и OpenRoaming
На официальном сайте проекта eduroam опубликована заметка Karl Meyer, сотрудника общеевропейского научно-образовательного сетевого консорциума GÉANT, посвященная возможностям использования участниками eduroam инфраструктуры глобального проекта OpenRoaming для обеспечения автоматического и безопасного доступа к Wi-Fi по всему миру.
Как уже сообщалось ранее, проект eduroam является членом Альянса беспроводной широкополосной связи (Wireless Broadband Alliance, WBA) и одним из первых участников федеративного сервиса OpenRoaming. включение автоматического и безопасного Wi-Fi. eduroam стремится использовать собственную существующую инфраструктуру для обеспечения участникам eduroam возможностей участия в проекте OpenRoaming.
С помощью инструментов, предоставляемых группой эксплуатации eduroam (в настоящее время находящихся на стадии проверки концепции – proof of concept, PoC), провайдеры идентификации (Identity Provider, IdP) и сервис-провайдеры (Service Provider, SP) eduroam могут участвовать в эквивалентных ролях в OpenRoaming (IdP и/или SP OpenRoaming). Использование этих инструментов должно быть одобрено национальным оператором роуминга (National Roaming Operator, NRO) eduroam, к которому подключен провайдер идентификации eduroam. В настоящее время ни один NRO eduroam не отказался от участия, поэтому услуга доступна для всех IdP по всему миру.
Для IdP eduroam участие в проекте OpenRoaming является не эксклюзивным выбором, а опциональным дополнением. Провайдеры сетевого доступа OpenRoaming смогут аутентифицировать только небольшую часть пользователей eduroam с помощью IdP eduroam, которые дали свое согласие.
Инструментарий инфраструктуры eduroam обеспечивает значительную часть шагов, необходимых для поддержки OpenRoaming, и постоянно развивается. Однако некоторые аспекты развертывания могут выполняться только участвующими в eduroam организациями в их собственной ИТ-инфраструктуре.
Для включения поддержки OpenRoaming, IdP необходимо реализовать несколько шагов поверх существующего eduroam-соединения:
- DNS-домен IdP должен предоставить DNS-запись, идентифицирующую его как realm OpenRoaming; запись должна указывать на конечную точку, принимающую входящие запросы RADIUS/TLS-аутентификации (такую конечную точку предоставляет операционная группа (Operations Team, OT) eduroam, могут быть определенные конечные точки и на национальном уровне, предоставляемые NRO)
- IdP необходимо установить профили развертывания OpenRoaming на устройства конечных пользователей, чтобы они могли распознавать точки доступа OpenRoaming и устанавливать соответствующие соединения
- IdP должен ознакомить конечных пользователей с условиями и положениями проекта OpenRoaming до первого использования
Инструкции по начальной настройке приведены в вики eduroam.
Конфигурация оборудования Wi-Fi для eduroam не зависит от OpenRoaming, и включение IdP Wi-Fi-точки доступа для поддержки OpenRoaming предполагает:
- наличие Wi-Fi-оборудования, поддерживающего Wi-Fi Certified Passpoint R1
- использование исходящих каналов OpenRoaming, предоставленных производителем, или прокси-сервер уровня PoC, управляемый OT eduroam
- разрешение доступа как минимум к пользовательской группе OpenRoaming «Educational or Research Identity, settlement-free, baseline QoS» («Образовательная или исследовательская идентификация, без расчетов, базовый QoS»)
Инструкции по начальной настройке приведены в вики eduroam.