Gratis internet för nästan hela världen

– Bland annat Göteborg och Umeå kommun vill rulla ut Eduroam för att göra staden attraktiv för studenter och i Stockholm har det rullats ut på alla kommunala bibliotek och på Kulturhuset, via S:t Erik Kommunikation AB. I andra län har man fått landstingen att installera det på ställen där det bedrivs vårdutbildning i landstingens lokaler. I Örebro finns Eduroam på alla vårdcentraler.

Organisationen ställer vissa krav på en identitetsutfärdare. Medlemskap i Swamid krävs och för det krävs medlemskap i Sunet. Det senare har alla universitet och högskolor.

Se Eduroam som en samling identitetskort och en teknisk infrastruktur för att verifiera identiteter. De måste administreras av någon. Det blir ett universitet som får säga: ”Den här personen är en student associerad med oss och vi tar ansvar för honom.” I Sverige sköts det hela genom Swamid, Swedish academic identity federation, med två teknikprofiler. Den ena är Eduroam för trådlösa nät och den andra är web single-sign-on för webbtjänster. I Sverige hanteras de båda profilerna av samma identitetsfederation, medan man i andra länder normalt har två federationer.

Måste följa regelverket
Swamid har vissa krav för medlemskap. Den organisation som vill vara med i Eduroam måste också ansluta sig till Swamid:s regelverk som säkerställer att allas identiteter hanteras på ett korrekt och säkert sätt.

Låt oss säga att kalle@gu.se försöker logga in på det trådlösa nätet vid Göteborgs universitet. För uppkopplingen används krypterad förbindelse med wpa2-enterprise, även under identifieringsprocess­en på mac-adresslagret (lager 1 i osi-modellen). Noden delar inte ut någon ip-adress innan den som vill ansluta har identifierats, utan all kommunikation försiggår på mac-lagret.
Accesspunkten börjar med att tala med radius-servern på lärosätet. Servern kan svara ”Ja, det här är en del av nätverket som jag ansvarar för” och letar i sin identitetskatalog för verifiering av användarnamn och lösenord. Eller också svarar den ”Nej” och skickar förfrågan uppåt till .se-servern. Den har också två val, att skicka uppåt till EU-domän­en eller skicka nedåt till annat lämpligt lärosäte.
När väl identifikationen är avklarad, ansluter accesspunkten till lärosätets router, som ansluter till Sunet, som i sin tur lämnar anslutning till internet.
Om å andra sidan en Eduroam-medlem ska logga in från en flygplats som har accesspunkter från The Cloud, som inte har någon egen identitetsserver, tas kontakt med .se-servern som skickar förfrågan vidare till lämpligt lärosäte. Efter identifikationen tunnlas användarens internettrafik till Sunet som, som tidigare, lämnar anslutning till internet.

Lärosätena ska ha god koll på vilka som är studenter, vilka som är anställda och att de kan identifiera dessa. De måste kunna garantera att det är en fysisk person som står bakom ett konto och de måste med god säkerhet veta vem den personen är. Att göra den typen av identifiering är ett väldigt stort arbete, men när det är gjort, får de exponera användarna mot Eduroam genom radius.