Next revision | Previous revision |
en:eduroam:easyroam [2022/12/07 13:56] – created Ralf Paffrath | en:eduroam:easyroam [2022/12/09 09:25] (current) – Ralf Paffrath |
---|
FIXME **This page is not fully translated, yet. **\\ | FIXME **This page is not fully translated, yet. **\\ |
| |
===== easyroam im Regelbetrieb ===== | ===== easyroam as a service ===== |
| |
[[de:eduroam:easyroam-regelbetrieb|Für eaysroam Admins und für die, die es gerne werden wollen: Weiche Migration in den Regelbetrieb ]] | [[de:eduroam:easyroam-regelbetrieb|For eaysroam admins and for those who would like to become one: Soft migration to easyroam as a service ]] |
| |
==== Allgemeines zu easyroam und Schnellzugriff auf die Anleitungen ==== | ==== General information on easyroam and quick link to the instructions ==== |
| |
easyroam versteht sich als eine Weiterentwicklung des eduroam Dienstes und richtet sich hauptsächlich an kleine Einrichtungen im DFN, kann aber auch von großen Einrichtungen im DFN genutzt werden. | easyroam is an extended development of the eduroam service and is mainly aimed at small institutions in DFN, but can also be used by large institutions in DFN. |
| |
Die Idee eduroam und die DFN-AAI zusammenzuführen ist nichts Neues und war lange Zeit leider nicht möglich, da es die DFN-AAI in der Fläche noch nicht gab. Das hat sich seit einiger Zeit geändert, so dass nun die Möglichkeit gegeben ist, den Dienst eduroam mit der Zusammenführung von eduroam und der DFN-AAI sicherer und einfacher zu gestalten. Herzstück von easyroam ist das easyroam Portal: [[https://www.easyroam.de|https://www.easyroam.de]], welches als DFN-AAI Service Provider in der DFN-AAI-Basic, eduroam Profile für die gängigen Betriebssystem wie: W10, MacOSX/iOS, ANDROID und LINUX Derivate bereitstellt. Das easyroam Portal kann in den Konfigurationsassistenten auf [[https://cat.eduroam.org|https://cat.eduroam.org]] über den Eintrag des eduroam - IdP's (Identity Providers) der Einrichtungen eigetragen werden. | |
| The idea of merging eduroam and the DFN-AAI is nothing new and was unfortunately hardly possible for a long time, as the DFN-AAI did not yet exist on a large scale. This has changed for some time now, so that it is now possible to make the eduroam service more secure and simpler by merging eduroam and the DFN-AAI. The central core of easyroam is the easyroam portal: [[https://www.easyroam.de|https://www.easyroam.de]], which serves as a DFN-AAI service provider in the DFN-AAI-Basic and provides eduroam profiles for the common operating systems such as: W10, MacOSX/iOS, ANDROID and LINUX derivatives. The link to easyroam portal can be configured by the configuration tool at [[https://cat.eduroam.org|https://cat.eduroam.org]] via the entry of the eduroam IdP (Identity Provider) of the institutions. |
| |
{{:de:eduroam:qr-code.png?200|}} | {{:de:eduroam:qr-code.png?200|}} |
| |
In eduroam gibt es neben anderen Verfahren zur Anmeldung die Authentifizierungsmethode EAP-TLS. Bei dieser Methode kommen ausschließlich Client/Nutzer Zertifikate für die Anmeldung zum Einsatz. Diese Zertifikate für eduroam können die eduroam Nutzenden auf www.easyroam.de nur generieren, wenn sie im Besitz einer gültigen DFN-AAI IdP Kennung mit Opt-In sind. Die eduroam Client/Server Zertifikate sind Teil einer "Self-Signed PKI" und können nur in eduroam eingesetzt werden. Der easyroam Server speichert ausschließlich nur die Pairwise - ID (Pseudonym) des DFN-AAI IdP Accounts und die Seriennummer des Client/Nutzer Zertifikats. Letzteres ist auch Teil der Roaming Indentität. Eine Besonderheit gegenüber aktuellen EAP-TLS Angeboten ist, dass die eduroam Nutzenden nicht mehr mit Namen im Zertifikat erkennbar sind. Somit ist es unmöglich Bewegungsprofile der eduroam Nutzenden zu erstellen. Jedoch ist es möglich, eine Zuordnung zwischen Pairwise - ID und Zertifikats-Seriennummer herzustellen und den eduroam Nutzenden eindeutig mit einer Person in Verbindung zu bringen. Somit ist man nicht generell anonym in eduroam unterwegs, wie das auch bisher der Fall ist. | In eduroam there is the authentication method called EAP-TLS among others. With EAP-TLS only client/user certificates are used for logging in. The eduroam users can only generate these certificates for eduroam on www.easyroam.de if they are in possession of a valid DFN-AAI IdP ID and the OPTIN-entitlement. The eduroam client/server certificates are part of a "Self-Signed PKI" and can only be used in eduroam. The easyroam server only stores the pairwise ID (pseudonym) of the DFN-AAI IdP account and the serial number of the client/user certificate which is also part of the roaming identity. A special feature compared to current EAP-TLS offers is that the eduroam users are no longer recognisable by name in the certificate. It is therefore impossible to create tracking profiles of eduroam users. However, it is possible to create an assignment between the Pairwise ID and the certificate serial number and to clearly associate the eduroam user with a person. This means that you are not generally anonymous when using eduroam, as has been the case up to now. |
| |
| The server software is a .NET development written in C-Sharp. PHP was deliberately omitted, as PHP did not offer the server security expected of server software. The server currently supports three languages: German, English and Chinese (currently being revised). |
| |
Die Server Software ist eine .NET Entwicklung in C-Sharp geschrieben. Es wurde bewusst auf PHP verzichtet, da PHP nicht die Server Sicherheit bot, die an die Server Software gelegt wurde. Der Server unterstützt aktuell drei Sprachen: Deutsch, Englisch und Chinesisch (wird zur Zeit überarbeitet). | |
| |
Die Anleitungen auf einem Blick finden die easyroam Nutzenden [[https://doku.tid.dfn.de/de:eduroam:easyroam-anleitungen|hier]]. | The instructions at a glance can be found [[https://doku.tid.dfn.de/de:eduroam:easyroam-anleitungen|here]] by easyroam users. |
| |
| |
==== Für Admins: Die Internationalisierung von easyroam durch NAPTR Records für Realms oder für die Top-Level Domain ".de" Text-Records ==== | ==== For admins: The internationalisation of easyroam through NAPTR records for realms or for the top-level domain ".de" text records ==== |
Für die Internationalisierung von eduroam/easyroam ist es wichtig, einen sogenannten NAPTR (**N**etwork **A**uthority **P**oin**T**e**R**) - Record für seine Realms | For the internationalisation of eduroam/easyroam, it is important to configure a so-called NAPTR (Network Authority PoinTeR) record for its realms. But also for national use it is important to configure a text record in the DNS at least for the realms mentioned below. According to the eduroam policy, the realm must be resolvable in the global DNS. |
zu konfigurieren. Aber auch für die natioanale Nutzung ist es wichtig zumindest für die unten genannten Realms einen Text-Record im DNS zu konfigurieren. Da gemäß der eduroam Policy der Realm im globalen DNS auflösbar sein muss. | |
| |
Für easyroam sind beispielhaft folgende NAPTR's zu konfigurieren: | For easyroam, the following NAPTRs are to be configured as examples: |
<code>easyroam.<organame.org>. 43200 IN NAPTR 100 10 "s" "x-eduroam:radius.tls" "" _radsec._tcp.eduroam.de. | <code>easyroam.<organame.org>. 43200 IN NAPTR 100 10 "s" "x-eduroam:radius.tls" "" _radsec._tcp.eduroam.de. |
easyroam-pca.<organame.org>. 43200 IN NAPTR 100 10 "s" "x-eduroam:radius.tls" "" _radsec._tcp.eduroam.de.</code> | easyroam-pca.<organame.org>. 43200 IN NAPTR 100 10 "s" "x-eduroam:radius.tls" "" _radsec._tcp.eduroam.de.</code> |
Zonen-Name (Label): easyroam.<organame.org>.\\ | Zonen-Name (Label): easyroam.<organame.org>.\\ |
43200: DNS cache liftime\\ | 43200: DNS cache liftime\\ |
IN: Für die Nutzung im Internet wie bei jedem anderen DNS-Ressource Eintrag\\ | IN: For use on the Internet as with any other DNS resource entry.\\ |
NAPTR: **N**etwork **A**uthority **P**oin**T**e**R**\\ | NAPTR: **N**etwork **A**uthority **P**oin**T**e**R**\\ |
100: Wenn mehrere NAPTR-Einträge für das Etikett definiert sind, wird die niedrigere Ordnungsnummer der höheren vorgezogen\\ | 100: If several NAPTR entries are defined for the label, the lower ordinal number is preferred to the higher one\\ |
10: Wenn mehrere NAPTR-Einträge mit der gleichen Reihenfolge für dieses Label definiert sind, wird bei der Namensauflösung zwischen all diesen Einträgen gewechselt\\ | 10: If several NAPTR entries with the same order are defined for this label, the name resolution switches between all these entries\\ |
"s": Dieser NAPTR-Eintrag sollte in Hostnamen aufgelöst werden, indem eine nachfolgende SRV-Abfrage auf dem Ziel-Label durchgeführt wird\\ | "s": This NAPTR entry should be resolved into hostnames by performing a subsequent SRV query on the target label\\ |
"x-eduroam:radius.tls": Dienst Name\\ | "x-eduroam:radius.tls": service name\\ |
"": Regulärer Ausdruck, für eduroam/easyroam nicht erforderlich\\ | "": Regular expression, not required for eduroam/easyroam\\ |
_radsec._tcp.eduroam.de.: Label des SRV Records\\ | _radsec._tcp.eduroam.de.: Label des SRV Records\\ |
| |
Die Auflösung des SRV Labels für jeden NAPTR für eduroam/easyroam im DFN lautet: | To resolv the SRV label for each NAPTR for eduroam/easyroam witin DFN type in the following command: |
<code>host -t SRV _radsec._tcp.eduroam.de. | <code>host -t SRV _radsec._tcp.eduroam.de. |
_radsec._tcp.eduroam.de has SRV record 0 20 2083 tld3.eduroam.de. | _radsec._tcp.eduroam.de has SRV record 0 20 2083 tld3.eduroam.de. |
| |
| |
==== Für Admins: easyroam in der DFN-AAI-Basic im OptIn ==== | ==== For admins: easyroam OptIn by using the DFN-AAI-Basic ==== |
| |
Für die Freigabe am DFN-AAI SP https://www.easyroam.de (Entity-ID https://get.eduroam.de/shibboleth) werden folgende Attribute benötigt: | The following attributes are required to allow users to get access to the DFN-AAI SP [[https://www.easyroam.de|https://www.easyroam.de]] (Entity-ID [[https://get.eduroam.de/shibboleth|https://get.eduroam.de/shibboleth]]): |
* [[de:common_attributes#a09|eduPersonScopedAffiliation]] | * [[de:common_attributes#a09|eduPersonScopedAffiliation]] |
* [[de:common_attributes#a17|samlPairwiseID]], siehe [[de:shibidp:config-attributes-aaiplus|Generierung]] und [[de:shibidp:config-storage#umstellung_auf_saml_pairwise-id|Umstellung ]] | * [[de:common_attributes#a17|samlPairwiseID]], siehe [[de:shibidp:config-attributes-aaiplus|Generierung]] und [[de:shibidp:config-storage#umstellung_auf_saml_pairwise-id|Umstellung ]] |