EDUROAM
De i2basque
EDUROAM en i2BASQUE
Contenido |
Qué es EDUROAM
Eduroam (Education Roaming) es una iniciativa de TERENA que facilita la movilidad de los investigadores y los estudiantes europeos, ya que les ofrece conectividad en sus desplazamientos. De esta manera, los usuarios de las instituciones que participan en Eduroam tienen acceso a Internet a través de las redes, mayoritariamente inalámbricas, del resto de instituciones participantes. Se trata de una infraestructura basada en Radius que utiliza la tecnología de seguridad 802.1X para la identificación y autenticación de los usuarios. La conexión de un usuario a la red de la institución visitada es similar a la conexión a la red de la propia institución de origen del usuario: el nombre de usuario y la contraseña necesarios para autenticarse son los mismos que los que se utilizan en la institución de origen, y la única diferencia puede ser el método de acceso a la red.
Iniciativa eduroam.es
En los últimos años han tomado gran importancia las tecnologías relacionadas con el acceso móvil a servicios, tanto desde el punto de vista de la telefonía, como desde el punto de vista de acceso a servicios telemáticos que necesiten de una conexión inalámbrica a una red. Además del problema, puramente técnico, de conseguir una conexión inalámbrica a Internet, surgen otros relacionados con la gestión de conexiones móviles y la gestión de usuarios que se mueven entre organizaciones. eduroam.es es una iniciativa englobada en el proyecto RedIRIS y que se encarga de coordinar a nivel nacional las iniciativas de diversas organizaciones con el fin de conseguir un espacio único de movilidad a nivel nacional. Este espacio único de movilidad consiste en un amplio grupo de organizaciones que en base a una política de uso y una serie de requerimientos tecnológicos y funcionales, permiten que sus usuarios puedan desplazarse entre ellas, disponiendo en todo momento de servicios móviles que pudiera necesitar. El objetivo último sería que estos usuarios al llegar a otra organización dispusieran, de la manera más transparente posible, de un entorno de trabajo virtual con conexión a Internet, acceso a servicios y recursos de su organización origen, así como acceso a servicios y recursos de la organización que en ese momento les acoge.
Objetivos del proyecto eduroam.es
- Coordinar a la puesta en marcha de infraestructuras de movilidad en nuestra comunidad, sirviendo de punto de encuentro de problemas y soluciones.
- Coordinar el desarrollo de una política de uso con el fin de crear un espacio único de movilidad entre nuestras organizaciones y compatible con el desarrollado a nivel europeo.
- Homologar las soluciones tecnológicas a implantar en las diferentes organizaciones con las acordadas a nivel europeo e internacional en este sentido.
- Trabajar en soluciones que ayuden a difundir información sobre tipos de instalaciones e información a nivel de organización sobre: modos de acceso, cobertura, etc.
- Informar de todos los temas relativos a la movilidad: guías de apoyo, estándares, soluciones (tanto propietarias como de libre distribución), etc.
- Promocionar nuevas soluciones e iniciativas originadas en organizaciones de nuestra comunidad tanto dentro de nuestra red, como a nivel internacional.
Infraestructura eduroam en i2BASQUE
Para la participación en el proyecto eduroam se ha instalado y configurado un servidor con sistema operativo Linux Debian estable en el que se han activado los siguientes servicios:
Además del servidor utilizado para la autenticación de usuarios, se ha instalado y configurado un punto de acceso wifi de Cisco AIR-AP-1121G-E-K9 para el acceso a la red.
Servidor LDAP
Para el almacenamiento y gestión de las cuentas de usuarios se utiliza LDAP (Lightway Directory Access Protocol). Se instala el paquete Debian de la versión estable (versión 2.2.23-8). Para facilitar la administración del servidor LDAP se instala también el paquete phpldapadmin, el cual permite a través de un navegador acceder y gestionar dicho servidor. Como raíz del árbol se ha configurado dc=i2basque, dc=net.
Servidor RADIUS
Para el control y gestión del acceso a la red se utiliza un servidor radius. La versión disponible en Debian no es operativa ya que falta una de las bibliotecas para utilizar el método EAP. Por ello se ha optado por probar la última versión fuente disponible obtenida de la web del proyecto (www.freeradius.org), en este momento la 1.1.0, la cual da errores al compilar el binario del servidor radius. Finalmente se ha optado por la versión 1.0.5 probada previamente en la maqueta. Para compilar freeradius se sigue el procedimiento habitual de cualquier software Open Source, es decir, ejecutar configure, make y make install. Hay que tener en cuenta que no se incluirán módulos en el binario de freeradius si no se cumplen algunas dependencias, es decir, si no están previamente instaladas algunas bibliotecas de las que depende. De esta falta de bibliotecas no nos avisa, y el proceso de generación del programa se puede continuar. Es en el momento en el que lo estamos utilizando cuando se producen errores, que además no suelen ser significativos (Bus Error, Segmentation Fault, …). En nuestro caso, y como queremos almacenar la información de los usuarios en LDAP, necesitamos instalar en nuestro sistema la biblioteca de desarrollo para LDAP (libldap_r y ldap.h). También vamos a utilizar como mecanismo seguro de autenticación EAP y TLS, por lo que necesitamos instalar además libcrypto y libssl. Para saber qué otros paquetes podemos necesitar hay que revisar el resultado de ejecutar el comando configure. Una vez compilado e instalado, es necesario configurarlo para incluir/definir los mecanismos de autenticación que se utilizarán. En nuestro caso la información de los usuarios está almacenada en un servidor LDAP, por lo que es necesario añadir el esquema de radius al servidor LDAP para incluir en la información de los usuarios una serie de atributos útiles para el servidor radius.
Servidor DHCP
Para administrar la distribución de direcciones IP se ha instalado un servidor DHCP en la subred de Miramón.
Configuración clientes eduroam
La configuración en los clientes para el acceso a la infraestructura eduroam depende del sistema operativo que se utilice. Sin embargo, las características o parámetros para realizar la configuración son genéricos para todos ellos. El SSID o nombre de red por simplicidad suele ser EDUROAM (o eduroam), y los parámetros de seguridad y autenticación:
- Autenticación y cifrado de red inalámbrica: WPA ( o WPA empresa) con TKIP.
- Método de autenticación de usuarios: EAP-TTLS con PAP (nombre de usuario y contraseña).
Windows XP
Además del cliente para redes inalámbricas de Windows iniciado (Configuración inalámbrica rápida), es necesaria la instalación del software SecureW2.
Windows XP Service Pack 1
En Windows XP con SP1 se deben instalar los parches de Microsoft Q815485 y KB826942.
Windows XP Service Pack 2
No es necesario instalar ningún parche adicional.
Instalación de SecureW2
Una vez descargado el programa desde la página web (SecureW2), se extrae el ejecutable del fichero zip y se ejecuta. Aparecerá la siguiente pantalla:
Pulse “Next” y a continuación “I Agree” en la siguiente pantalla:
Acepte las opciones por defecto en la siguiente pantalla y pulse “Install”:
Una vez instalados los ficheros del programa aparecerá una pantalla que le ofrecerá reiniciar el
sistema, pulse “Finish” si desea reiniciar en este momento. La instalación no hará efecto hasta que
reinicie.
Configuración de SecureW2
Abriremos el Panel de Control de las Conexiones de Red. Para ello accederemos a través del menú de Inicio -> Panel de Control ->(Conexiones de Red e Internet)* -> Conexiones de Red
- Sólo si se tiene el Panel de Control ordenado por categorías.
En el ejemplo se deberá seleccionar “Conexiones de red inalámbricas”. Pulse con el botón derecho del ratón y seleccione “propiedades”.
Seleccione la pestaña “Redes Inalámbricas”. Compruebe en este punto que “Usar Windows para establecer mi configuración de red inalámbrica” está seleccionado y pulse el botón Agregar:
Escriba el nombre de la red a conectarse (eduroam) en el campo “SSID”, seleccione WPA en el campo “Autenticación de red” y TKIP en el de “Cifrado de datos”. A continuación seleccione la pestaña “Autenticación”.
En el campo “Tipo de EAP” seleccione la opción SecureW2 y pulse a continuación en “Propiedades”.
Le aparecerá la pantalla de configuración del perfil, puede modificar el perfil por defecto o puede crear uno nueve (recomendado) pulsando “New”. Le pedirá un nombre para el nuevo perfil, escriba uno (por ejemplo eduroam) y pulse “OK”.
La configuración del perfil tiene cuatro pestañas, la primera es respecto a la conexión. Marque la selección “Use alternate outer identity” y seleccione la siguiente pestaña (Certificates).
En la pestaña de “Certificates” quite la selección de “Verify Server certificate” y seleccione la siguiente pestaña.
En la pestaña “Authentication” seleccione el sistema PAP en el campo “Select Authentication Method”.
En la pestaña “User account” marque la casilla "Prompt user for credentials". Pulse “OK”.
Pulse “OK” y Aceptar en todas las ventanas hasta salir a la ventana de las conexiones de red. En
este punto, dependiendo del estado del ordenado, podría necesitarse reiniciar la computadora.
Mac OS X
No es necesario instalar ningún software adicional.
Para conectarnos a la red inalámbrica eduroam debemos realizar la siguiente configuración: Iniciamos la aplicación Conexión a Internet desde el menú Airport o desde la carpeta Aplicaciones:
Aquí creamos una conexión 802.1X (Archivo -> Nueva conexión 802.1X), donde desplegamos el menú de Configuración y señalamos Editar configuraciones...
En la configuración escribimos un nombre para descripción, puerto Airport, usuario y contraseña y escribimos en la casilla de Red inalámbrica eduroam, ya que esta red no se publica y no es accesible desde el menú desplegable.
Señalamos la Autenticación TTLS y pinchamos en Configurar..., donde elegimos la autentificación TTLS como PAP
Pinchamos en OK dos veces.
Al conectar nos sale una ventana indicándo que el certificado es desconocido. Pulsamos Continuar:
Y se nos muestra que estamos conectados:
Si pinchamos en 802.1X nos muestra el protocolo y el tiempo de conexión:
Debian GNU/Linux
Está guía (basada en la de la UC3M) recoge los pasos seguidos para configurar el acceso a la red WiFi eduroam con un portátil Airis nv600, equipado con tarjeta WiFi Intel Pro Wireless 2200BG. Por lo que puede servir de referencia a para la configuración de otros equipos que tengan el mismo tipo de tarjeta WiFi. El sistema operativo utilizado es la rama estable de Debian a la que se han aplicado algunos cambios.
Kernel
Descargar los fuentes del kernel linux-2.6.15.1.tar.bz2, configurarlo de acuerdo al hardware del equipo. Con las siguientes particularidades, referentes a la tarjeta WiFi:
- No seleccionar el stack 802.11
- No seleccionar el driver para la tarjeta Intel Pro Wireless 2200BG
Compilar e instalar el kernel. Comprobar que todo funciona correctamente (excepto la tarjeta WiFi).
Drivers tarjeta WiFi
Las versiones actuales del kernel (hasta la 2.6.15.1 al menos) vienen con una implementación de la librería 802.11 anticuada. Descargar la versión 1.1.9 desde http://ieee80211.sourceforge.net. Descomprimirla y compilarla.
su root cd /usr/src tar -zxf ieee80211-1.1.9.tgz chown -R root.root ieee80211-1.1.9 cd ieee80211-1.1.9 make make install make clean
Ahora tenemos que instalar los drivers para la tarjeta Intel Pro Wireless 2200, disponibles en http://ipw2200.sourceforge.net. En este caso se ha utilizado la versión 1.0.10.
su root cd /usr/src tar -zxf ipw2200-1.0.10.tgz chown -R root.root ipw2200-1.0.10 cd ipw2200-1.0.10 make make install make clean
Finalmente, debemos instalar el firmware, para ello descargamos la versión correspondiente a la versión del driver que hemos descargado desde http://ipw2200.sourceforge.net. Hay que descomprimirlo en el directorio donde lo busca el programa hotplug (por defecto /usr/lib/hotplug/firmware)
su root cd /usr/lib/hotplug/firmware tar -zxf ipw2200-fw-2.4.tgz
Ahora, ya podemos cargar el driver de la tarjeta WiFi.
su root modprobe ipw2200
Podemos comprobar el resultado:
dmesg |grep ipw ipw2200: Intel(R) PRO/Wireless 2200/2915 Network Driver, 1.0.10 ipw2200: Copyright(c) 2003-2005 Intel Corporation
En este caso ha cargado la versión 1.0.10 del driver.
Comprobamos que tenemos soporte para las extensiones Wireless en el kernel y el interfaz de la tarjeta WiFi.
iwconfig --version
iwconfig Wireless-Tools version 27
Compatible with Wireless Extension v11 to v17.
Kernel Currently compiled with Wireless Extension v19.
ethx Recommend Wireless Extension v16 or later,
Currently compiled with Wireless Extension v19.
Suplicante
Debian estable incorpora una versión del paquete wpasupplicant que no funciona adecuadamente con la tarjeta Intel Pro Wireless 2200, por ello es necesario instalar una versión más moderna. La UC3M ha preparado un paquete Debian con la versión 0.4.6 disponible aquí.
su root dpkg -i wpasupplicant_0.4.6-0.2_i386.deb
Configuramos el suplicante wpa (fichero /etc/wpa_supplicant.conf):
ctrl_interface=/var/run/wpa_supplicant
ctrl_interface_group=0
eapol_version=1
ap_scan=1
fast_reauth=1
network={
ssid="eduroam"
key_mgmt=WPA-EAP
eap=TTLS
anonymous_identity="anonymous"
identity="usuario@dominio.dom"
password="password"
priority=2
phase2="auth=PAP"
}
Podemos utilizar el siguiente script para activar la conexión WiFi 802.1X.
ifconfig mi-interfaz-wifi up wpa_supplicant -B -i mi-interfaz-wifi -c /etc/wpa_supplicant.conf -dd -D wext sleep 5 dhclient mi-interfaz-wifi
Debemos indicar al suplicante wpa el driver wext (driver genérico de la extensión wireless de Linux).
(K)Ubuntu Dapper
Se ha comprobado que en el mismo portátil la distribución (K)Ubuntu Dapper funciona con el kernel y los drivers que incluye, basta con crear/modificar el fichero /etc/wpa_supplicant.conf y utilizar el mismo script utilizado en Debian para activar la conexión WiFi 802.1X.
Windows Mobile
La configuración se ha realizado en una PDA Dell Axim X51v con sistema operativo Microsoft Windows Mobile versión 5.0. Además del cliente para redes inalámbricas de Dell, és necesaria la instalación del software SecureW2.
Instalación de SecureW2
El programa SecureW2 se instala como la mayoría de aplicaciones en la PDA. Se descarga en el ordenador en el que tengamos el software de sincronización con la PDA. Conectamos la PDA a dicho ordenacor y una vez descargado el programa desde la página web (SecureW2), se ejecuta. Aparecerá la siguiente pantalla:
Pulse “Next” y a continuación “I Agree” en la siguiente pantalla:
Acepte las opciones por defecto en la siguiente pantalla y pulse “Install”:
Una vez instalados los ficheros del programa aparecerá la siguiente pantalla, pulse Aceptar y comprueba la pantalla del PDA.
Si dispone de una tarjeta de memoria adicional, seleccione donde quiere instalar el software y pulse Instalar.
La siguiente pantalla indica que el software está instalado:
Configuración de SecureW2
Seleccionar la utilidad de configuración de redes wifi de Dell.
En la pestaña Principal seleccionar Configuración.
En la pestaña Inalámbrico seleccionar Agregar nueva ...
En la pestaña General indicar el nombre de la red, en este caso eduroam, y que permitirá conectar con Internet.
En la pestaña Clave de red seleccionar WPA como auntenticación y TKIP como cifrado de datos.
En la pestaña 802.1x seleccionar SecureW2 como tipo de EAP y pulsar el botón Propiedades.
Pulsar el botón New para crear un nuevo perfil, al que podemos llamar eduroam.
Pulsar el botón Ok.
En la pestaña “Connection” marcar la casilla Use alternate outer identity.
En la pestaña “Certificates” dejar desmarcada la casilla "Verify server certificate".
En la pestaña Authentication seleccionar PAP como Authentication Method
En la pestaña User Account marcar la casilla Prompt user for credentials, en la conexión aparecerá una pantalla solicitando nombre de usuario y contraseña, y pulsar el botón OK. La configuración está finalizada. Basta con activar la interfaz wifi del PDA.
