View
2
Download
0
Category
Preview:
Citation preview
Draft 1.0
eduroam Technical Document : Installation and Usage
Kasetsart University Eduroam Team Anan Phonphoem (รศ.ดร. อนันต์ ผลเพิ่ม)
Aphirak Jansang (ดร. อภิรักษ์ จันทร์สร้าง) Surachai Jitpinityon (สุรชัย จิตพินิจยล)
Witthawat Tangtrongpiroj (วิธวัช ตั้งตรงไพโรจน)์
Advisor: Surasak Sanguanpong (รศ.สุรศักดิ์ สงวนพงษ์)
Last update: 9 Feb 2012
1
Outline
• Topology • Physical Topology • Logical Topology
• Radius Configuration • National Level (.th Federation) • Institute Level
• Wireless AP Controller Setup • Client Setup
• Mac OS • Window 7 • iPhone
2
• Physical Topology
• Logical Topology
3
SSID : eduroam
SSID : APAN33
Controller Radius Local dB
APAN33
Web Login
eduroam
radius
eduroam
APAN33
.th
Federation
Radius eduroam
KU
(idp)
Local dB
KU
Radius KU
trim @ku.ac.th
Other institutes
Top Level
Event APAN
Other Countries
Thailand
Other Country
Physical Topology
KU dB
4
eduroam.ku.ac.th
(158.108.212.240)
Freeradius @guest.ku.ac.th @uni.net.th
radius1.ku.ac.th
(158.108.212.176)
Freeradius
eduroam.th
(202.28.194.13)
Radsecproxy
etlr1.eduroam.org
(192.87.106.34)
Radsecproxy
Top level
National level
Institute level
Institute
Service Provider
eduroam.nl
Netherlands
Radsecproxy
@ku.ac.th
uni.net.th
(202.28.194.28)
Freeradius
APAN #33
Event
Freeradius
surfnet.nl
Freeradius
SSID: KUWIN
SSID: eduroam
SSID: APAN33
SSID: eduroam SSID: surfnet.nl
SSID: eduroam
Thailand Netherlands
@suftnet.nl
Logical Topology 5
6
• Radius Server Radsecproxy
• Install at Uninet • Edit file radsecproxy.conf
▫ General Configuration ▫ Institution level Radius
▫ Top level Radius
National Level (.th Federation)
7
Topology
eduroam.ku.ac.th
(158.108.212.240)
Freeradius @uni.net.th
eduroam.th
(202.28.194.13)
Radsecproxy
etlr1.eduroam.org
(192.87.106.34)
Radsecproxy
eduroam.nl
Netherlands
Radsecproxy
uni.net.th
(202.28.194.28)
Freeradius
APAN #33
Event
Freeradius
surfnet.nl
Freeradius
Thailand
8
• Related files
– radsecproxy.conf on .th server 202.28.194.13
…
client eduroam-apan33.uni.net.th {
host 202.29.192.6
type UDP
secret shared_secret_between_apan33_to_th_level
}
…
rewrite defaultclient {
removeAttribute 64
removeAttribute 65
removeAttribute 81
}
…
General Configuration(1)
9
…
client freeradius.uni.net.th {
host 202.28.194.28
type UDP
secret shared_secret_between_uninet_to_th_level
}
server freeradius.uni.net.th {
host 202.28.194.28
type UDP
secret shared_secret_between_uninet_to_th_level
}
…
General Configuration (2)
10
…
client eduroam.ku.ac.th {
host 158.108.212.240
type UDP
secret shared_secret_between_ku_to_th_level
}
server eduroam.ku.ac.th {
host 158.108.212.240
type UDP
secret shared_secret_between_ku_to_th_level
}
…
General Configuration(3)
11
…
client etlr1.eduroam.org {
host 192.87.106.34
type UDP
secret shared_secret_between_etlr1_to_th_level
}
server etlr1.eduroam.org {
host 192.87.106.34
type UDP
secret shared_secret_between_etlr1_to_th_level
}
…
General Configuration(4)
12
…
realm /ku\.ac\.th$ {
server eduroam.ku.ac.th
}
realm /guest\.ku\.ac\.th$ {
server eduroam.ku.ac.th
}
realm /uni\.net\.th$ {
server freeradius.uni.net.th
}
…
eduroam.ku.ac.th
(158.108.212.240)
Freeradius @uni.net.th
eduroam.th
(202.28.194.13)
Radsecproxy
uni.net.th
(202.28.194.28)
Freeradius
APAN #33
Event
Freeradius
Institute Level Radius Configuration
13
…
realm * {
server etlr1.eduroam.org
# server etlr2.eduroam.org
}
…
eduroam.th
(202.28.194.13)
Radsecproxy
etlr1.eduroam.org
(192.87.106.34)
Radsecproxy
Thailand
Top Level Radius configuration
14
15
• Radius Server FreeRadius (ver.2) • Locate at Institute that wants to use eduroam • Configure file:
▫ /etc/raddb/radiusd.conf ▫ /etc/raddb/sites-enabled/eduroam ▫ /etc/raddb/clients.conf ▫ /etc/raddb/proxy.conf ▫ /etc/raddb/eap.conf ▫ /etc/raddb/sites-enabled/eduroam-inner-tunnel ▫ /etc/raddb/users
Institute Level Configuration
(eduroam.ku.ac.th)
16
• Radius server is working on both ▫ IdP (Identity Provider): realm @guest.ku.ac.th
▫ SP (Service Provider)
@guest.ku.ac.th
Kasetsart University
Thailand
eduroam.ku.ac.th
(158.108.212.240)
Freeradius
eduroam.th
(202.28.194.13)
Radsecproxy
Topology
17
security {
max_attributes = 200
reject_delay = 0
status_server = yes
}
proxy_requests = yes
listen {
type = auth
ipaddr = *
port = 1812
}
listen {
type = auth
ipv6addr = ::
port = 1812
}
listen {
type = acct
ipaddr = *
port = 1813
}
listen {
type = acct
ipv6addr = ::
port = 1813
}
Configure /etc/raddb/radiusd.conf (eduroam.ku.ac.th)
18
server eduroam {
authorize {
auth_log
suffix
eap
}
authenticate {
eap
}
preacct {
suffix
}
accounting {
}
post-auth {
reply_log
Post-Auth-Type REJECT {
reply_log
}
}
…
…
pre-proxy {
pre_proxy_log
if (Packet-Type != Accounting-Request) {
attr_filter.pre-proxy
}
}
post-proxy {
post_proxy_log
attr_filter.post-proxy
}
}
Configure etc/raddb/sites-enabled/eduroam (eduroam.ku.ac.th)
19
#Allow asking from Eduroam-TH to eduroam.ku.ac.th
client eduroam-th-to-ku {
ipaddr = 202.28.194.13
netmask = 32
secret = shared_secret_between_ku_to_th_level
require_message_authenticator = no
shortname = eduroam-th-to-ku
nastype = other
virtual_server = eduroam
}
eduroam.ku.ac.th
(158.108.212.240)
Freeradius @guest.ku.ac.th
eduroam.th
(202.28.194.13)
Radsecproxy
client
server
Configure /etc/raddb/clients.conf (eduroam.ku.ac.th)
20
#Allow asking from Eduroam.ku.ac.th to Eduroam-TH
proxy server {
default_fallback = yes
}
home_server eduroam-th {
type = auth+acct
ipaddr = 202.28.194.13
port = 1812
secret = shared_secret_between_ku_to_th_level
status_check = status-server
}
home_server_pool EDUROAM {
type = fail-over
home_server = eduroam-th
}
realm guest.ku.ac.th {
nostrip
}
realm DEFAULT {
auth_pool = EDUROAM
nostrip
}
eduroam.ku.ac.th
(158.108.212.240)
Freeradius @guest.ku.ac.th
eduroam.th
(202.28.194.13)
Radsecproxy
server
client
Configure /etc/raddb/proxy.conf (eduroam.ku.ac.th)
21
eap {
default_eap_type = peap
timer_expire = 60
ignore_unknown_eap_types = no
cisco_accounting_username_bug = no
tls {
certdir = ${confdir}/certs
cadir = ${confdir}/certs
private_key_password = whatever private_key_file = ${certdir}/server.key
certificate_file = ${certdir}/server.pem
CA_file = ${cadir}/ca.pem
dh_file = ${certdir}/dh
random_file = /dev/urandom
fragment_size = 1024
include_length = yes
check_crl = no
cipher_list = "DEFAULT"
}
…
eduroam.ku.ac.th
(158.108.212.240)
Freeradius @guest.ku.ac.th
…
ttls {
default_eap_type = mschapv2
copy_request_to_tunnel = yes
use_tunneled_reply = yes
virtual_server = "eduroam-inner-tunnel"
}
peap {
default_eap_type = mschapv2
copy_request_to_tunnel = yes
use_tunneled_reply = yes
virtual_server = "eduroam-inner-tunnel"
}
mschapv2 {
}
}
/etc/raddb/eap.conf
(eduroam.ku.ac.th)
22
server eduroam-inner-tunnel {
authorize {
auth_log
eap
files
mschap
pap
}
authenticate {
Auth-Type PAP {
pap
}
Auth-Type MS-CHAP {
mschap
}
eap
}
…
…
post-auth {
reply_log
Post-Auth-Type REJECT {
reply_log
}
}
}
/etc/raddb/sites-enabled/eduroam-inner-tunnel (eduroam.ku.ac.th)
23
guest1@guest.ku.ac.th Cleartext-Password := "guest1"
guest2@guest.ku.ac.th Cleartext-Password := "guest2"
guest3@guest.ku.ac.th Cleartext-Password := "guest3"
.
.
.
/etc/raddb/users (eduroam.ku.ac.th)
24
25
Controller @ APAN33 (1)
Controller Summary
26
Controller @ APAN33
Set WLAN SSID , VLAN in Profile Name
Controller @ APAN33 (2)
27
Controller @ APAN33
Controller @ APAN33 (3)
28
Controller @ APAN33
Choose Authentication Key and encryption
Controller @ APAN33 (4)
29
Controller @ APAN33
Controller @ APAN33 (5)
30
Controller @ APAN33
AAA Servers for Authentication and Accounting
ip 202.29.192.6 Port 1812 , 1813
Controller @ APAN33 (6)
31
Controller @ APAN33
Controller @ APAN33 (7)
32
Controller @ APAN33 (8)
33
Controller @ APAN33
Controller @ APAN33 (9)
34
• Mac OS
• Window 7
• iPhone
35
Mac OS (1)
• เลอืก Wi-Fi ที่มุมขวาบน จากนั้นเลือก SSID: eduroam
36
Mac OS (2)
• จากนั้นระบบจะแสดง WPA2 enterprise เพื่อให้กรอกข้อมลู มีรายละเอียดดังนี้ Mode: Automatic
Username: fengxxx@xx.ac.th (ชื่อผู้ใช้พร้อมระบุโดเมนที่สังกัด โดยต้องระบุ @xx.ac.th ให้ชัดเจน)
Password: เป็นรหัสผ่านของผู้ใช้ตามต้นสังกัด
37
Mac OS (3)
• จากนั้นระบบจะขึ้นมาให้ accept ตัว certificate ให้กด accept หลังจากนั้นสามารถเข้าใช้ eduroam ได้
• สามารถตรวจสอบสถานะเครือข่ายการเชื่อมต่อได้โดยเปิด terminal พิมพ์ ifconfig ตรงส่วนของ Wireless interface จะปรากฏ IP ที่ใช้ส าหรับติดต่อ
38
Window 7 (1)
• เข้าหน้า Manage Wireless Networks • โดยเข้าไปที่ Control Panel Network and Internet Manage
Wireless Networks
39
Window 7 (2)
• สร้าง SSID ชื่อ eduroam โดยเลือกไปที่ Add และเลือก “Manually create a
network profile
40
Window 7 (3)
• 3 เลือกปรับตั้งค่าโดยก าหนดค่า ▫ Network name: eduroam
▫ Security type: WPA2-Enterprise
▫ Encryption type: AES
▫ Start this connection automatically เลือกหรือไม่เลือกก็ได ้
41
Window 7 (4)
• จากนั้นกด Next และเลือก Change connection settings เลือกSecurity เลือก Microsoft Protected EAP (PEAP) จากนั้นกด Settings
42
Window 7 (5)
• เลือก Authentication Method แบบ Secured password (EAP-MSCHAP v2) จากนั้นกดปุ่ม Configure…
43
Window 7 (6)
• จากนั้นเอาเครื่องหมายถูกด้านหน้า Automatically use my Windows logon name and password (and domain if any) ออก
44
Window 7 (7)
• เลือก connect wireless network โดยเลือกเชื่อมต่อกับ SSID: eduroam
45
Window 7 (8)
• จากนั้นท าการเชื่อมต่อโดยใส่ชื่อบัญชีและรหัสผ่าน
46
iPhone (1)
• เลือก Wi-Fi โดยเข้า Settings > Wi-Fi จากนั้นเลือก SSID: eduroam
47
iPhone (2)
• จากนั้นระบบจะแสดง WPA2 enterprise เพื่อให้กรอกข้อมูล มีรายละเอียดดังนี้ Username: fengxxx@xx.ac.th
(ชื่อผู้ใช้พร้อมระบุโดเมนที่สังกัด โดยต้องระบุ @xx.ac.th ให้ชัดเจน) Password: เป็นรหัสผ่านของผู้ใช้ตามต้นสังกัด
48
iPhone (3)
49
iPhone (4)
• จากนั้นระบบจะขึ้นหน้า Certificate จากนั้นให้กด Accept
50
iPhone (5)
• ตรวจสอบจะพบว่าได ้IP ส าหรับการติดต่อ
51
Recommended