En svensk student ska ha gratis internetåtkomst oavsett var han befinner sig i landet. Det är de ansvarigas grundtes, men det har bromsats av de nästan oöverstigliga problemen med att på ett säkert sätt tillhandahålla och underhålla användaridentiteter utanför det egna universitetet.


Sunet:s nätdriftscentral i Stockholm. Det är Sunet som samlar ihop och vidare­befordrar all datatrafik mellan svenska universitet och högskolor.

Bara kostnaden för att underhålla en enda identitet, med uppdateringar, support, återställning av lösenord och bakomliggande system har uppskatt­ats till cirka 200–500 kronor per år. Om ett universitet dessutom har tusentals besök­ande studenter och föreläsare varje år från lärosäten i andra städer och länder, baxnar även den mest härdade it-chefen över kostnaden. Skulle man köpa tjänsten att upprätthålla alla dessa identiteter vid alla Europas tusentals universitet skulle summorna bli astronomiska. Kunde man i stället återanvända identiteterna, skulle en väldig skalafördel uppnås.

Lämpligt i Benelux
Det hela nådde kritisk massa år 2003 för universiteten i Beneluxländerna, där studenterna till och med pendlar över landsgränserna. Dittills hade alla studenter och lärare tvingats sprida sina lösenord i system överallt i Europa, men slutligen kom man fram till att det var bättre om nätverket i det besökta universitetet frågade var användaren hörde hemma och överlät åt användarens hemnätverk att verifiera identiteten.

”Open your laptop and be online” lyder Eduroams slogan. Hittar du den här loggan och är med i Eduroam är det bara att öppna locket på datorn så är du inloggad.

Det hela fungerade väldigt bra och Eduroam är i dag ett förbund av identitetsfederation­er över hela världen.
På så sätt kan alla användare – forskare, lärare, studenter och personal från en medlems­organisation – nå internet på ett säkert sätt oavsett vilken annan medlemsorganisation de befinner sig hos.

Frågar två ställen
Med Eduroam görs användar­identifieringen mot användarens hemorganisation, medan beslut­et att tillåta åtkomst till nätverksresurserna tas av den besökta organisationens nätverk. I och med att identifieringen sker mot hemnätverket elimineras all ytterligare administration av lösenord och rättigheter, och därmed även kostnaderna för det.

Eduroam är en förkortning av Education roaming. Systemet använder sig av nätverksprotokollet radius och standarden 802.1x för att förmedla information om användaren från identitetsutfärdaren (användarens universitet) till tjänstleverantören (lärosätet som står för det trådlösa nätverket).


Radius-identifieringen arbetar mot en server på varje lärosäte, ett antal på landsnivå, två toppdomän-servrar på EU-nivå och motsvarande i andra världsdelar. En förfrågan vandrar alltid uppåt från den server som inte kan hantera den tills den finner en server som känner igen någon del av användar-id:et, varefter förfrågan vandrar ned igen till den slutiga server som kan identifiera hela id:et.

Fakta

802.1x är ett identifikationsprotokoll som innebär att man autentiseras mot radius-servrar. När man vill logga in kommer klienten att tala med en accesspunkt via ett ssid, initialt enbart på mac-adresslagret. Accesspunkten kommer inte att dela ut ett ip-nummer förrän en radius-server har godkänt användaren. Det här används ofta i företagsmiljöer när man vill släppa in tillfälliga användare.

Det fina med Eduroam är att flera radius-servrar är kedjade så att man kan skicka en förfrågan vidare om det aktuella lärosätets server inte känner till den del av nätverket som efterfrågas och kan svara ja eller nej. Förfrågan går i så fall vidare till landsdomänen. Om inte Sverige kan svara ja eller nej går frågan vidare till Europadomänen som då vet vart frågan ska ta vägen.

Hela routningen bygger på att universitetet del av nätverket (dess realm) finns med i användarnamnet. Kommer exempelvis användarnamnet kalle@gu.se från någonstans i Europa kommer förfrågan att gå till .se, som skickar den till .gu (Göteborgs Universitet). .gu kommer att autentisera och svara ja.

Svaret går tillbaka till accesspunkten, som släpper ut kalle@gu.se på internet.

Eduroam i Sverige:
www.eduroam.se

Eduroam internationellt:
www.eduroam.org

Swamid:
www.swamid.se

Swamid:s policy för att säkra identiteter (pdf):
tinytw.se/swasec

Skolfederationen, Swamids:s motsvarighet för grund och gymnasieskolor:
tinytw.se/skolfed

Om att sträcka ut Eduroam utanför lärosätena (pdf):
tinytw.se/eduout