文/田爱宝 夏凌云 宋文文
中国石油大学 基于Eduroam构建高校无线漫游网络
文/田爱宝 夏凌云 宋文文
国内高校在对外学术交流活动面临着网络很难接入的问题,同时校园无线网络管理遭遇到管理瓶颈,Eduroam在国外蓬勃发展的背景下,国内高校充分利用Eduroam的优势,能有效解决国内高校当前面临的问题,为高校的发展带来新的机遇。
近几年来,国内高校逐渐将国际国内学术交流提升到促进学校发展的重要手段之一,导致师生在国际国内流动日益频繁。同时,国内高校逐步开展学校间学分互认等教学改革,进一步增加了师生跨学校流动。在国家宽带战略下,各高校不断加大校园网络的投入力度,特别是校园无线网络建设,985、211类高校基本上实现了校园无线网络的全部或部分覆盖。但是,大部分高校的无线网主要为本校师生提供服务,对访客基本上采取使用共享密码连接无线网或不提供服务两种办法,因此带来的网络安全问题或用户使用的不便利均不能很好解决。
Eduroam的目标是让用户使用所属机构的注册账号允许接入其他Eduroam机构的无线网络,为了实现用户访问网络权限的漫游,主要通过身份验证和网络授权两个部分来实现。
用户所属机构网络信息管理部门管理用户身份信息,即账号,是Eduroam系统中用户身份信息的提供者。用户接入Eduroam网络前需要将其用户身份信息提交到用户管理机构进行身份验证,确定身份合法后给予相应的无线网络访问权限。为了保证用户身份信息在互联网上传递的安全,必须采用EAP认证模式,根据各机构实际情况,可采用PEAP、TLS、TTLS等EAP认证模式。
网络授权由无线网络提供者根据上述身份信息验证决定是否允许用户接入无线网络并授予网络访问权限。为了网络安全和认证方式的统一,Eduroam无线网络全部采用802.1X网络认证模式。
为了实现身份验证和网络授权的信息传递,Eduroam需要构建一套RADIUS服务系统。全球RADIUS服务系统主要包括以下三部分服务:
1.顶级RADIUS服务器 Confederation Top-Level RADIUS Server (TLRs) ,位于欧洲的荷兰和丹麦、亚太地区的香港和澳大利亚,分别负责将不同的认证包转发到本区域内相关的 FLR 服务器,并实现顶级服务器间的数据交互。
2.联 盟 级RADIUS服 务 器Federation-Level RADIUS servers (FLRs) ,在每个国家或地区会有相应的FLR 服务器,负责将认证包在TLR 和各科研教育机构IDP(Identity Provider)/SP(Service Provider)之间进行转发。
3.校园级RADIUS 服务器 IdP and SP RADIUS infratructure,部署在高校或科研机构内,既是用户身份信息的提供者和管理者,也是无线网络的提供者。身份验证和网络授权均由该级别的服务器提供服务。
为了保证用户身份信息的正确传递,用户账号均采用user@realm的格式,realm是基于域名系统架构,采用层次结构,TLR服务器、FLR服务器根据realm对账号进行转发,直到找到用户所属机构的IdP服务器完成身份信息的验证。
校园级RADIUS服务器采用FreeRADIUS软件,完成与上级FLR服务器的连接,并实现与无线网络认证对接。具体步骤为:
1.下载安装FreeRADIUS软件。
2.配置FreeRADIUS服务器的客户端。
无线网络的无线控制器作为无线网的接入设备,在认证时须将用户身份信息转发给RADIUS服务器,故校园网无线控制器是RADIUS服务器的客户端,同时,本地用户漫游到其他机构时,接收上级RADIUS服务器转发过来的认证包,也是本地RADIUS服务器的客户端,故配置RADIUS客户端时需将无线控制器和上级FLR服务器均配置为RADIUS客户端。
在/etc/raddb/clients.conf文件中添加
client edu-flr-1 {
ipaddr = 上级FLR服务器
netmask = 32
secret = 与FLR服务器对接密钥shortname = edu-flr-1
}
client wlan-ac-1 {
ipaddr = 无线控制器IP地址
netmask = 32
secret = 与无线控制器对接密钥shortname = wlan-ac-1
}
3.配置FreeRADIUS转发策略
用户在本地无线网登录Eduroam时,将用户身份信息转发至RADIUS服务器,根据用户名的realm信息,RADIUS服务器将认证包转发到上级FLR服务器或进行本地验证,为了达到此目的,需要对RADIUS服务器配置转发策略。
具体配置/etc/raddb/proxy.conf 文件:
home_server flr1.edu.cn{
type=auth+acct
ipaddr = 上级FLR服务器port = 1812 proto = udp secret = 连接密钥
}
home_server_pool Eduroam{
home_server = flr1.edu.cn }
realm upc.edu.cn{
}
realm NULL{
}
realm LOCAL{
}
realm DEFAULT{
pool =Eduroam nostrip
}
4.IdP 设置
IdP是用户身份服务,提供本地身份认证信息。一般情况下,每个 IdP 部署的 RADIUS 服务器均指向到本地已有的用户认证数据库,上层的RADIUS服务器会通过用户账号的格式(例如 user@realm)将用户认证包转发到用户所在的RADIUS IDP 认证服务器,完成整个认证过程。
RADIUS 服务器上的 IdP 认证,可以采用本地配置文件方式,可以通过连接数据库方式,也可以通过使用用户认证 LDAP 方式。
5.配置 CA
为了保障EAP正常工作,需要提供TLS服务证书,一般使用申请的签名证书,当然,使用自签名证书也能正常工作,但用户需要手动信任该证书。
6.配置无线网络
无线网络控制器配置独立的名称为Eduroam的SSID,并开启802.1X认证,采用RADIUS认证方式,并将RADIUS服务器指向校园级Eduroam RADIUS服务器。
Eduroam于2015年5月正式开通,覆盖青岛校区办公区大部、全部教学区、图书馆、会议室、主要室内外公共区域。
中国石油大学(华东)无线网络自2011年开始建设,经过几年的扩充,截止到2015年底,AP总数量将达到4100多个,其中,学校自建数量2300个左右,与运营商合作建设1800多个,覆盖青岛校区大部分楼宇和室内外公共区域,根据计划,2016年将实现校区的室内外完整覆盖。
目前,中国石油大学(华东)青岛校区无线网自建部分发布了UPC、UPC-Mobile、Eduroam三个SSID,其中,UPC、UPC-Mobile为本校校园网用户提供服务,使用Web和802.1X认证模式,可以访问互联网;Eduroam为无线漫游用户提供服务,采用802.1X认证模式,禁止本校校园网用户登录。与运营商合作建设的校园无线网络全部分布在学生宿舍楼,SSID统一为CMCC-EDU,必须是本校校园网用户才能登录使用。
中国石油大学(华东)校内用户Eduroam账号来源于学校基础数字平台,所有师生在入校注册身份信息时得到的学工号和密码即自动成为Eduroam的登录账号与密码,无需缴纳任何费用。
Eduroam于2015年5月正式开通,覆盖青岛校区办公区大部、全部教学区、图书馆、会议室、主要室内外公共区域。
自开通至10月中旬5个月的时间内,Eduroam共计接收认证请求1243314次,其中认证通过13334次,拒绝1230011次,校外用户有效接入账号106个,本校用户在校外漫游登录有效账号38个。根据运行拒绝日志分析,认证拒绝的账号98%以上是本校校园网用户,这与采取本校用户不允许登录Eduroam的策略及该策略宣传不到位有很大的关系。
根据现有的运行情况和用户反馈的信息分析,Eduroam在国内高校存在如下问题:
1.国内高校用户对Eduroam不熟悉,很多用户不清楚、不了解Eduroam,甚至包括部分已经开通Eduroam的高校或科研机构的用户。
2.由于各高校无线网建设模式不一致,导致Eduroam开通存在一定的障碍,如学校自建网络的很容易开通,但与运营商合作建设的无线网络开通Eduroam存在一定的问题。
3.Eduroam漫游系统所使用的FreeRADIUS软件在诸如计费、日志、管理等方面界面非常不友好,导致管理维护比较困难,影响网络管理人员的积极性。另外,Eduroam账号的格式和加密协议等要求,导致与校园网身份信息库或网络计费系统进行对接中可能会存在意料之外的问题。
虽然当前国内大陆地区发展较晚,但Eduroam能解决无线网络国内外漫游的问题,随着对Eduroam认识的加深,国内高校将重视无线网络漫游在学校发展中的重要性,并逐步开通Eduroam网络,为高校间学术交流提供更加方便的无线网络接入服务。
(中国石油大学(华东)网络及教育技术中心)