Eduroam Admin

From NMS
Revision as of 19:52, 27 May 2007 by Vokac (Talk | contribs) (MikroTik Routerboard)

Jump to: navigation, search

Stránka pro administrátory a správce sítě na FJFI. Základní informace lze nalézt na FJFI stránkách Eduroamu.

Konfigurace RADIUS serverů

Základní informace lze nalézt na oficiálních stránkách českéhé Eduroamu. Konfigurace je prakticky totožná s uvedenou až na drobné úpravy na základě informací z eduroam-admin konference. Konfigurace by měla být v souladu s Českou eduroam politikou.

Uživatelské účty jsou/budou ve Windows AD, která obsahuje účty všech studentů/zaměstnanců/spolupracovníků FJFI (včetně klientů Terezy). Pro účely Eduroamu bylo rozšířeno schema AD o několik atributů:

Atributy Eduroam Schematu
atribut typ účel
fnspeEduroamPassword Octet String heslo pro přístup do Eduroam
fnspeEduroamDisabled Boolean Eduroam účet zablokován/povolen
fnspeEduroamLocal Boolean přístup jen v rámci fjfi.cvut.cz realm
fnspeEduroamExpire Interval datum expirace Eduroam účtu

Při úspěšné autentizaci uživatele je pomocí samostatného skriptu uložena do databáze síťových zařízení registrovaných na FJFI informace o uživatelském jméně a MAC adrese autentizovaného zařízení.


Konfigurace AP/sítě

V Trojance eduroam (po)běží na odděleném segmentu 147.32.11.0/24 na samostatné VLAN 11. Z technických důvodů je totiž potřeba oddělit autentizovaný přístup od běžného anonymního přístupu. Vzhledem k tomu, že po přihlášení uživatele do Eduroamu je automaticky uložena jeho identita, není potřeba dále požadovat po uživateli povinnou registraci síťového zařízení.


ASUS wl500g Deluxe

Měl by umožňovat práci s VLAN (minimálně 1-16), ale je ptřebo to ještě otestovat. Pro OpenWRT whiterussian 0.9 se jedná o následující nastavení nvram

ifup_interfaces=lan wifi
lan_dns=147.32.9.4 147.32.1.20
lan_gateway=172.16.1.1
lan_ifname=vlan0
lan_ifnames=vlan0
lan_ipaddr=172.16.1.150
lan_netmask=255.255.255.0
lan_proto=static
vlan0hwname=et0
vlan0ports=0 1 2 3 4 5*
vlan11hwname=et0
vlan11ports=0t 5
wifi_ifname=br0
wifi_ifnames=vlan11 eth1
wifi_ipaddr=147.32.11.5
wifi_netmask=255.255.255.0
wifi_proto=static

Ke konfiguarci RADIUSu lze využí web rozhraní nebo se da přímo zapsat do nvram

wl0_radius_ipaddr=147.32.9.3
#wl0_radius_ipaddr=147.32.5.45
wl0_radius_key=secret_z_konfigurace_freeradiusu
wl0_radius_port=1812
  • jaké IP pro LAN x WIFI rozhraní pro komunikaci s RADIUS serverem?
  • při startu se v této verzi OpenWRT automaticky doplní další (nevhodné) konfigurace
  • při problémech s flashováním firmware je dobré vyzkoušet flashování následujících firmware
    • wl500g-clear-nvram.trx
    • wl500g-recover.trx
    • openwrt-brcm-2.4-jffs2-4MB.trx
    • v případě, že problémy přetrvají je možné ještě vyzkoušet oficiální firmware - WL500gx_1.9.6.0_EN.trx
    • pro vyčístění nvram se dá použít mtd -r nvram erase
    • pro upgrade by mělo fungovat mtd -r write /tmp/image.trx linux

ASUS wl500g

Neumí pracovat s VLAN, takže do něj bude dotažená jen netagovaná VLAN 11 (tj. i lokální uživatelě, kteří z něj používají switch, se nebudou muset registrovat a budou dostávat IP adresy z rozsahu 147.32.11.0/24)

Update: podle Z.K. umí VLANy

Upgrade routeru:

# tftp 192.168.1.1
tftp> binary
tftp> trace
tftp> put openwrt.trx ASUSSPACELINK

Planet WAP-4000

Chová se nějak divně (nestabilně, klienty sice ověří - v log souborech je OK - ale některé nepustí dál) - nutné odzkoušet a asi půjde pryč... Nemá vůbec potuchy o VLAN, takže se k němu musí dotáhnout netagovaná VLAN 11

Planet WDAP-2000PE

Při nastaveném WPA zabezpečení mají někteří klienti problém s komunikací (nepomohl ani upgrade na nejnovější firmware). Open a WEP zabezpečení fuguje i s ověřováním přes RADIUS bezproblémů, ale je nepoužitelné vzhledem k požadavku odlišné konfigurace klienta.

MikroTik Routerboard

Bezprobémové nastavení VLAN, více SSID, různé zabezpečení, více radius serverů, ...

Bohužel na notebooku s wireless kartou BCM4306 nechodí proti tomuto AP TKIP zabezpečení, ale jen CCMP (vyzkoušeny dvě "různé" mini-PCI karty na AP - R52, CM10). Zatím bylo AP překonfigurovano tak, aby vůbec neinzerovalo podporu TKIP.

CISCO Aironet 1242

Bezproblémové nastavení