Připojené lokality
• Rektorát UK• Filozofická fakulta UK (spravuje ÚVT UK)
• Areál UK Jinonice
• Právnická fakulta UK(spravuje PPT PrF UK) - http://eduroam.prf.cuni.cz
• Farmaceutická fakulta UK v HK(spravuje ÚVT FaF UK HK) - http://www.faf.cuni.cz
Historie
• 2.Q 2004 - Diskuse o dokumentu “roamingová politika„
• 3.Q 2004 - Začátek pilotního projektu
• 11/2004 - IPSec spojení na národní RADIUS servery CESNETu
• 12/2005 - Dolaďování NAS (systém pro ověření přes WWW stránky)
• 01/2005 - Propojení na RADIUS server PrF, příprava testovacího provozu
• 02/2005 - Web http://eduroam.cuni.cz, přechod na „sekundární hesla”
• 1.3.2005 - Spuštění testovacího provozu, dolaďování NASu, ACL
• 1.4.2005 - Přechod na ostrý provoz
• 04/2005 - Monitoring dostupnosti RADIUS serveru na přihlašovací stránce
Uživatelé
Dvě domény (Active Directory):
• UVTUK (uvtuk.cuni.cz)
- rektorát UK - 300 uživatelů (zaměstnanci), eduroam: 27
• JINONICE (jinonice.cuni.cz)
- zaměstnanci FF, FHS, COZP, ... - 1285 uživatelů; eduroam: 28
- studenti FF, FHS, FSV, ... - 13345 uživatelů (4335 aktivních); eduroam: 315
Pokrytí
• Rektorát (Ovocný trh 3/5, Celetná 13 a 20, Praha 1)
14x Cisco WiFi (AIR-AP1121G-E-K9, AIR-AP1231G-E-K9)
7x zásuvka RJ45 (10/100 Mbps)
• Filozofická fakulta (Nám. J. Palacha 2, Hybernská 3, Praha 1)
2x Cisco WiFi (AIR-AP1121G-E-K9), 2x Orinoco (jen eduroam-simple)
27x zásuvka RJ45 (10/100 Mbps)
• Areál UK Jinonice (U Kříže 8 a 10, Praha 5)
3x Cisco WiFi (AIR-AP1121G-E-K9)
3x zásuvka RJ45 (10/100 Mbps) + HUB v učebnách (10 Mbps)
AAI
CESNETradius1
CESNETradius2
PrF UKradiusator
(@prf.cuni.cz)
Rukradius
(@uvtuk.cuni.cz)
Jinonicezizala
(@jinonice.cuni.cz)
Ruk(UVTUK)
DC2
Ruk(UVTUK)
DC1
Jinonice(JINONICE)
DC1
Jinonice(JINONICE)
DC2
Jinoniceradius1
(default .*@.*)
RADIUS w/ IPSec
RADIUS
LDAPS
default (.*@.*)
@[email protected]@prf.cuni.cz
Rektorát UK UK Jinonice
eduroam na UK v Praze
Ruk firewallPIX506E
Rukradius
PA
SN
ET
PrF UKradiusator
VLAN 947
Jinonicezizala
VLAN 948
RUK - WiFi AP a zásuvky RJ45
Jinonice - WiFi AP a zásuvky RJ45
VLAN 945, 946 VLAN 948, 947
CESNET
Jinoniceradius1
Právnická fakulta UK Filozofická fakulta UK
FF UK - WiFi AP a zásuvky RJ45
VLAN 947, 948
Funkce serverů
RADIUS
- Ověřuje dotazy na realm @uvtuk.cuni.cz v LDAPu AD
- DHCP pro sítě VLAN 945-948 (2x eduroam a 2x eduroam-simple)
- NAS (ovládání iptables na základě přihlášení na WWW stránce)
- Aplikace pro nastavování „sekundárních hesel“ pro eduroam
- Předávání dotazů na realm @prf.cuni.cz na radiusator.prf.cuni.cz
RADIUS1
- IPSec v transportním režimu na národní RADIUS servery CESNETu
- RADIUS brána mezi UK a CESNETem
ZIZALA
- Ověřuje dotazy na realm @jinonice.cuni.cz v LDAPu AD
http
://edu
roam.cu
ni.cz
http
://user.ed
uroam
.cun
i.cz
Zkušenosti z provozu
• Uživatelé nečtou návody (známá věc), ani krátké informace před přihlášení!
• Většina uživatelů se připojuje jen na SSID eduroam-simple, nebo na
ethernetové zásuvky s autentizací přes WWW stránku.
• Velmi málo uživatelů si umí nastavit připojení bez pomoci technické podpory.
• V důsledku bodu jedna se hodně uživatelů snaží přihlašovat s nesmyslnými
uživatelskými jmény (např. jméno_příjmení@něco, uzivatelske_jmeno@něco,
Jméno.Příjmení, ně[email protected], apod.) – opisují vzory.
• V důsledku bodu jedna si nenastaví heslo a snaží se použít „primární heslo“.
• V důsledku bodu jedna zavírají přihlašovací okno, diví se, že spojení nevydrží.