Dies ist eine alte Version des Dokuments!
easyroam-Off-Boarding
Wenn Institutsangehörige (Studierende, Lehrende etc.) die Einrichtungen verlassen, verlieren sie in der Regel die Berechtigung, DFN-Dienste zu nutzen. Zu den DFN-Diensten zählt auch der Dienst eduroam bzw. easyroam. In diesem Rahmen ist der Begriff easyroam-Off-Boarding geprägt worden. Dahinter verbirgt sich ein Mechanismus, um eine größere Anzahl von Nutzenden, die nicht mehr einer Einrichtung im DFN zugeordnet werden können, den Zugang zu easyroam/eduroam verwehren.
Ein manuelles, vereinzeltes easyroam-Off-Boarding kann der Admin über das Admin Portal im Bereich Benutzerverwaltung jederzeit durchführen. Diese Möglichkeit gibt es bereits seit Einführung von easyroam im Regelbetrieb. Das easyroam-Off-Boarding im Batch, Zugriff mit easyroam Adminrechten im Adminportal, ermöglicht das Einlesen einer digital signierten XML-Datei.
Die XML-Datei für das easyroam-Off-Boardiung
Die Vorgaben für die signierte XML-Datei sind möglichst trivial gehalten und umfassen u.a. folgende Tags:
... <Transaction execution_date="2024-01-24"> ... <User>ZA62CCVETHALAEHQ656XXEBMN4U67OME</User> ... <User>ABVDEFGHI1254678990ABCDEFGHIGFKJ</User>
„Transaction execution_date“ bezeichnet das Datum, an dem den Nutzenden der Zugang zu easyroam/eduroam verwehrt werden soll.
Dieses Datum liegt in der Regel 30 Tage in der Zukunft. Während dieser Zeit hat der easyroam Admin die Möglichkeit
Fehler zu korrigieren. Nach Ablauf des Datums werden alle aktuellen easyroam Pseudoprofile widerrufen und die Pairwise-ID
der Nutzenden, die die Einrichtung verlassen für easyroam/eduroam gesperrt. Einmal widerrufene easyroam Pseudoprofile
können nicht mehr verwendet werden.
Das zweite Tag:
„<User> …. </User> enthält das Pseudonym, die Pairwise-Id, die in der Regel vom DFN-AAI-IdP Admin der Einrichtung kommt.
Beispiel Template einer XML-Datei:
<?xml version="1.0"?>
<Transaction execution_date="2024-01-24">
<SigningCertificate>
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
</SigningCertificate>
<Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
<SignedInfo>
<CanonicalizationMethod Algorithm=
"http://www.w3.org/TR/2001/REC-xml-c14n-20010315"/>
<SignatureMethod Algorithm=
"http://www.w3.org/2001/04/xmldsig-more#rsa-sha256"/>
<Reference URI="">
<Transforms>
<Transform Algorithm=
"http://www.w3.org/2000/09/xmldsig#enveloped-signature" />
</Transforms>
<DigestMethod Algorithm=
"http://www.w3.org/2001/04/xmlenc#sha256"/>
<DigestValue></DigestValue>
</Reference>
</SignedInfo>
<SignatureValue />
<KeyInfo>
<KeyValue />
</KeyInfo>
</Signature>
<User>Template TCS PKI</User>
</Transaction>
Um das Beispiel Template zu nutzen, tauscht man einfach den öffentlichen Schlüssel in den Begrenzern Begin und End gegen seinen eigenen öffentlichen Schlüssel aus. Dieses Datei lässt sich im Anschluss durch den privaten Schlüssel des eigenen Nutzerzertifikats der TCS oder der DFN-PKI mit folgendem Kommando signieren:
xmlsec1 --sign --privkey-pem private.key --output signed_offboarding2.xml off2.xml
oder mit einer .p12-Datei:
xmlsec1 --sign --pkcs12 MyCert.p12 --output signed_offboarding2.xml --pwd foryoureyesonly off2.xml
Beispiel einer signierten easyroam-Off-Boarding Datei:
<?xml version="1.0"?>
<Transaction execution_date="2024-01-24">
<SigningCertificate>
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
</SigningCertificate>
<Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
<SignedInfo>
<CanonicalizationMethod Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315"/>
<SignatureMethod Algorithm="http://www.w3.org/2001/04/xmldsig-more#rsa-sha256"/>
<Reference URI="">
<Transforms>
<Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>
</Transforms>
<DigestMethod Algorithm="http://www.w3.org/2001/04/xmlenc#sha256"/>
<DigestValue>1UKMZfKEP9xEoBVxd7YZ+FumBO0=</DigestValue>
</Reference>
</SignedInfo>
<SignatureValue>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</SignatureValue>
<KeyInfo>
<KeyValue>
<RSAKeyValue>
<Modulus>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</Modulus>
<Exponent>
AQAB
</Exponent>
</RSAKeyValue>
</KeyValue>
</KeyInfo>
</Signature>
<User>Template TCS PKI</User>
</Transaction>