Introduzione

Cos'è eduroam

eduroam (Education Roaming) è il servizio che permette agli utenti in mobilità presso altre organizzazioni di accedere in modo semplice e sicuro alla rete wireless usando le stesse credenziali fornite dalla propria organizzazione.

Studenti, professori e ricercatori in visita in un’istituzione o ente che aderisce ad eduroam possono accedere alla rete da qualsiasi dispositivo mobile e autenticarsi con le credenziali utilizzate abitualmente all’interno della propria organizzazione.

eduroam è una confederazione che riunisce tutte le federazioni nazionali. In Italia, la federazione è coordinata dal GARR che la rappresenta presso le altre federazioni e confederazioni.

Semplicità

Il principio di base di eduroam è Open your laptop and be online. Ciò significa che, una volta che un utente ha configurato correttamente il proprio dispositivo (notebook, smartphone, ...), potrà accedere alla rete eduroam ovunque essa sia presente, senza necessità di richiedere all'ente ospitante delle credenziali temporanee. Il suo dispositivo, rilevando la rete eduroam, inizierà la sessione di autenticazione per collegarsi in automatico alla rete locale dell'ente in cui si trova.

Autenticazione

In eduroam l'autenticazione avviene mediante le proprie credenziali fornite dall'organizzazione di appartenenza. L'architettura con cui è stato sviluppato eduroam, infatti, consente di trasportare l'autenticazione di un utente da un'organizzazione in cui l'utente è in visita (Visited Institution) fino alla propria organizzazione (Home Institution) mediante meccanismi di Proxy Radius.

eduroam, infatti, si basa una una struttura gerarchica di server radius: ogni istituzione connette il proprio server RADIUS ai server nazionali gestiti dal GARR instaurando una relazione di trust.

_images/eduroam-1.png

Nell'immagine in giallo è rappresentato un Resource Provider, ossia un ente che mette a disposizione la risorsa wireless.

Nota

In eduroam gli utenti si autenticano presentando una outer-identity nel formato utente@realm che viene utilizzata per routare la richiesta lungo tutta la catena gerarchica fino all'Home Institution autoritativa per il determinato realm.

  1. L'ente in giallo non sa come autenticare l'utente in visita in quanto non detiene le credenziali del realm realm. Il server radius non può fare altro che demandare l'autenticazione alla federazione eduroam inoltrando le credenziali ai server del GARR (in verde).

  2. Il GARR è a conoscenza di quale Identity Provider sia autoritativo per il realm realm ed inoltra, a sua volta, le credenziali al radius server dell'Identity Provider (in blu).

  3. Tale radius, opportunamente collegato ad una base dati (es. LDAP, Active Directory, DB, ...), verifica che le credenziali dell'utente siano valide e risponde con un Access-Accept o Access-Reject.

  4. La risposta, seguendo il percorso inverso, torna all'ente in giallo

I server del GARR sono a loro volta collegati ai server della Confederazione eduroam permettendo l'autenticazione degli utenti anche presso Resource Provider esteri.

_images/eduroam-2.png

Sicurezza

Le informazioni relative all'autenticazione transitano lungo la catena di autenticazione in modo sicuro. Per evitare che le credenziali vengano catturate, infatti, in eduroam gli Access Point utilizzano lo standard 802.1X che usa il protocollo EAP. In tal modo tra il dispositivo dell'utente e il radius server della sua Home Institution viene instaurato un canale cifrato sicuro all'interno del quale viaggiano le credenziali dell'utente.

Al fine di routare correttamente l'informazione lungo la catena di autenticazione, è tuttavia necessario che i vari server coinvolti possano leggere il realm. Nel protocollo EAP, il pacchetto RADIUS trasporta:

  • il campo User-Name (che equivale all'outer-identity): visibile a tutti i server della catena di autenticazione e sulla base del quale effettuano il routing del pacchetto consultando il realm. Pertanto ciò che compare a sinistra della @ non ha nessuna importanza e può essere una stringa vuota o, come consuetudine, il valore anonymous

  • il payload EAP: cifrato e visibile solo al radius della Home Institution. Quando arriva al radius autoritativo per quel realm, il radius decifra il payload EAP ed ottiene la reale username dell'utente (altrimenti detta inner-identity) e la password dell'utente.

A chi si rivolge questa documentazione

Questa documentazione si rivolge ai contatti tecnici che devono installare e configurare il servizio eduroam presso il proprio ente. Non si rivolge, invece, agli utenti finali (es. studenti, professori, ...) che utilizzano il servizio. In caso di problemi, essi dovranno far riferimento ai propri contatti tecnici.

In caso di necessità

In caso di necessità, consulta la sezione Supporto.

Documentazione eduroam
Federazione