Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
Nächste ÜberarbeitungBeide Seiten der Revision
de:eduroam:start [2021/10/06 10:05] – [Installation der eduroam Profile auf iOS 15 ohne GETEDUROAM] Ralf Paffrathde:eduroam:start [2021/11/17 14:50] – [Die Webseite get.eduroam.de für die eduroam Nutzenden] Ralf Paffrath
Zeile 5: Zeile 5:
 EasyRoam4Edu ist aktuell in der Entwicklung und versteht sich als eine Weiterentwicklung des eduroam Dienstes und richtet sich hauptsächlich an kleine Einrichtungen im DFN, kann aber auch von großen Einrichtungen im DFN genutzt werden. EasyRoam4Edu ist aktuell in der Entwicklung und versteht sich als eine Weiterentwicklung des eduroam Dienstes und richtet sich hauptsächlich an kleine Einrichtungen im DFN, kann aber auch von großen Einrichtungen im DFN genutzt werden.
  
-Die Idee eduroam und die DFN-AAI zusammenzuführen ist nichts Neues und war lange Zeit leider nicht möglich, da es die DFN-AAI in der Fläche noch nicht gab. Das hat sich seit einiger Zeit geändert, so dass nun die Möglichkeit gegeben ist, den Dienst eduroam mit der Zusammenführung von eduroam und DFN-AAI sicherer und einfacher zu gestalten. Im Pilotbetrieb gibt es den EasyRoam4Edu Server [[https://get.eduroam.de|https://get.eduroam.de]], der als DFN-AAI Service Provider eduroam Profile für die gängigen Betriebssystem wie: W10, MacOSX/iOS, ANDROID und LINUX Derivate in der DFN-AAI-Basic anbietet. Der EasyRoam Server ist dabei in den Konfigurationsassistenten auf [[https://cat.eduroam.org|https://cat.eduroam.org]] eingebunden und kann auch darüber aktuell über den Eintrag EasyRoam4Edu (DFN-GS Pilot) angesteuert werden. In eduroam gibt es neben anderen Verfahren zur Anmeldung die Authentifizierungsmedthode EAP-TLS. Bei dieser Methode kommen ausschließlich Client/Nutzer Zertifikate für die Anmeldung zum Einsatz. Diese Zertifikate für eduroam können die eduroam Nutzenden auf get.eduroam.de nur generieren, wenn sie im Besitz einer gültigen DFN-AAI IdP Kennung mit OptIn sind. Die eduroam Client/Server Zertifikate sind Teil einer "Self-Signed PKI" und können nur in eduroam eingesetzt werden. Der EasyRoam Server speichert ausschließlich nur die Pairwise - ID (Pseudonym) des DFN-AAI IdP Account und die Seriennummer des Client/Nutzer Zertifikats. Letzteres ist auch Teil der Roaming Indentität. Eine Besonderheit gegenüber aktuellen EAP-TLS Angeboten, einschließlich der DFN-GS, ist der, dass die eduroam Nutzenden nicht mehr mit Namen im Zertifikat erkennbar sind. Somit ist es unmöglich Bewegungsprofile der eduroam Nutzenden zu erstellen. Jedoch ist es möglich, mit richterlichem Beschluss eine Zuordnung zwischen Pairwise - ID und Zertifikats-Seriennummer herzustellen und den eduroam Nutzenden eindeutig mit einer Person in Verbindung zu bringen. Somit ist man nicht generell anonym in eduroam unterwegs, wie das auch bisher der Fall ist.+Die Idee eduroam und die DFN-AAI zusammenzuführen ist nichts Neues und war lange Zeit leider nicht möglich, da es die DFN-AAI in der Fläche noch nicht gab. Das hat sich seit einiger Zeit geändert, so dass nun die Möglichkeit gegeben ist, den Dienst eduroam mit der Zusammenführung von eduroam und DFN-AAI sicherer und einfacher zu gestalten. Im Pilotbetrieb gibt es den EasyRoam4Edu Server [[https://get.eduroam.de|https://get.eduroam.de]], der als DFN-AAI Service Provider in der DFN-AAI-Basic, eduroam Profile für die gängigen Betriebssystem wie: W10, MacOSX/iOS, ANDROID und LINUX Derivate bereitstellt. Der EasyRoam Server ist dabei in den Konfigurationsassistenten auf [[https://cat.eduroam.org|https://cat.eduroam.org]] eingebunden und kann auch darüber aktuell über den Eintrag EasyRoam4Edu (DFN-GS Pilot) angesteuert werden. In eduroam gibt es neben anderen Verfahren zur Anmeldung die Authentifizierungsmedthode EAP-TLS. Bei dieser Methode kommen ausschließlich Client/Nutzer Zertifikate für die Anmeldung zum Einsatz. Diese Zertifikate für eduroam können die eduroam Nutzenden auf get.eduroam.de nur generieren, wenn sie im Besitz einer gültigen DFN-AAI IdP Kennung mit OptIn sind. Die eduroam Client/Server Zertifikate sind Teil einer "Self-Signed PKI" und können nur in eduroam eingesetzt werden. Der EasyRoam Server speichert ausschließlich nur die Pairwise - ID (Pseudonym) des DFN-AAI IdP Account und die Seriennummer des Client/Nutzer Zertifikats. Letzteres ist auch Teil der Roaming Indentität. Eine Besonderheit gegenüber aktuellen EAP-TLS Angeboten, einschließlich der DFN-GS, ist der, dass die eduroam Nutzenden nicht mehr mit Namen im Zertifikat erkennbar sind. Somit ist es unmöglich Bewegungsprofile der eduroam Nutzenden zu erstellen. Jedoch ist es möglich, eine Zuordnung zwischen Pairwise - ID und Zertifikats-Seriennummer herzustellen und den eduroam Nutzenden eindeutig mit einer Person in Verbindung zu bringen. Somit ist man nicht generell anonym in eduroam unterwegs, wie das auch bisher der Fall ist.
  
 Die Server Software ist eine .NET Entwicklung in C-Sharp geschrieben. Es wurde bewusst auf PHP verzichtet, da PHP nicht die Server Sicherheit bot, die an die Server Software gelegt wurde. Der Server unterstützt aktuell drei Sprachen: Chinesisch, Deutsch und Englisch.  Die Server Software ist eine .NET Entwicklung in C-Sharp geschrieben. Es wurde bewusst auf PHP verzichtet, da PHP nicht die Server Sicherheit bot, die an die Server Software gelegt wurde. Der Server unterstützt aktuell drei Sprachen: Chinesisch, Deutsch und Englisch. 
Zeile 50: Zeile 50:
  
 Hier kann man die Seriennnumer des Zertifikats und auch die Laufzeit des Zertifikats einsehen. Wird nun ein Zertifikat widerrufen, so kommt es auf die Widerrufsliste und wird beim Udate der CRL anschließend von RADIUS Server abgelehnt. Bei Widerruf des Profils/Zertifikats, wird dieses innerhalb von 24 Stunden auf dem RADIUS Server gesperrt. Hier kann man die Seriennnumer des Zertifikats und auch die Laufzeit des Zertifikats einsehen. Wird nun ein Zertifikat widerrufen, so kommt es auf die Widerrufsliste und wird beim Udate der CRL anschließend von RADIUS Server abgelehnt. Bei Widerruf des Profils/Zertifikats, wird dieses innerhalb von 24 Stunden auf dem RADIUS Server gesperrt.
 +
 +Die Laufzeit der eduroam Profile legen in der Regel die EasyRoam4Edu Administratoren in den Einrichtungen fest. Wenn von den EasyRoam4Edu Administratoren keine Laufzeit der eduroam Profile festgelegt wird, sind die eduroam Profile 3 Monate gültig. Im Bereich "Zugänge verwalten"
 +unter "Mehr Infos" und "Uhrzeit und Datum des Ablaufs (UTC):" besteht die Möglichkeit, eine ICAL Datei für die gängigen Kalender Applikationen auf den Endgeräten herunterzuladen. Die eduroam Nutzenden werden dann in der Regel frühestens 1 Woche und spätestens 1 Tag vor Ablauf des eduroam Profils erinnert, ihr eduroam Profil zu aktualisieren.
 +
 +{{:de:eduroam:screenshot_2021-11-17_at_14.35.19.png?400|}}
  
 Klickt man auf manuelle Optionen im Hauptmenü kann man zwischen PKCS12, EAP-Config und Mobil-Config (Apple) auswählen:  Klickt man auf manuelle Optionen im Hauptmenü kann man zwischen PKCS12, EAP-Config und Mobil-Config (Apple) auswählen: 
Zeile 56: Zeile 61:
  
 Das Zertifikatsformat PKCS12 ist für eduroam Nutzende gedacht, die das Betriebssystem Linux verwenden. Das Dateiformat EAP-Config spielt bei dem Workaround auf den ANDROID Geräten später eine wesentliche Rolle. Das Mobile-Config ist für die eduroam Nutzenden des Betriebssystem Mac-OSX gedacht. Das Zertifikatsformat PKCS12 ist für eduroam Nutzende gedacht, die das Betriebssystem Linux verwenden. Das Dateiformat EAP-Config spielt bei dem Workaround auf den ANDROID Geräten später eine wesentliche Rolle. Das Mobile-Config ist für die eduroam Nutzenden des Betriebssystem Mac-OSX gedacht.
- 
 ==== Die Webseite get.eduroam.de für die eduroam Admins ==== ==== Die Webseite get.eduroam.de für die eduroam Admins ====
  
  • Zuletzt geändert: vor 23 Monaten