Dessutom finns ett policyramverk som anger vad man förväntar sig av varandra och en modell för incidenthantering. För lärosätet räcker det med att underhålla sin egen identitetskatalog och att sätta upp en radius-server.
Ger både nät och id
Varje lärosäte är i dag både nätleverantör och identitetsutfärdare – man levererar alltså både trådlöst nät med ssid:et ”Eduroam” och identiteter till systemet.
Eduroam sträcker sig från Hammerfest i norr till Kanarieöarna i söder. Den västligaste noden finns på Azorerna och den östligaste i Armenien. Utöver det finns ett hundratal noder i Australien och Nya Zeeland, Brasilien och Chile. Universiteten i USA är på gång, men finns inte med på kartan ännu. Medlemsrapporteringen till databasen är frivillig.
Men Sunet ville som sagt sträcka ut Eduroam ännu längre, och efter en upphandling blev The Cloud, som äger cirka 15 000 accesspunkter i Norden, England och Tyskland, leverantör av ssid:et ”Eduroam” på ett stort antal platser inom Sverige, till exempel Swedavias flygplatser, järnvägsstationer och hamnar. The Cloud är då bara nätleverantör, inte identitetsutfärdare. Sunet betalar en månadsavgift per ansluten användare för det.
Skulle inte kommunerna kunna spara pengar på att göra samma sak?
– Massor! Men det är en mycket större fråga än Eduroam. Titta på vad stat och kommun skulle kunna spara på att ha en egen infrastruktur. På alla ställen där man bjuder in folk, måste dessa kunna hämta ut en gästidentitet. Det skulle man kunna skippa, säger Valter Nordh.
Systemet levererar utförliga rapporter om antal inloggade på Eduroam och alla trafikvägar.
Vill ha med alla skolor
– Varenda elev i grund- och gymnasieskolorna ska ha en dator i dag. Vi har haft en diskussion med Skolfederation.se om att kunna ansluta alla gymnasie- och högstadieskolor också, och vi skulle tycka det vore jättekul att få med dem i Eduroam. Det gäller bara att de uppfyller Swamid:s ramverk.
Innehållsförteckning
802.1x är ett identifikationsprotokoll som innebär att man autentiseras mot radius-servrar. När man vill logga in kommer klienten att tala med en accesspunkt via ett ssid, initialt enbart på mac-adresslagret. Accesspunkten kommer inte att dela ut ett ip-nummer förrän en radius-server har godkänt användaren. Det här används ofta i företagsmiljöer när man vill släppa in tillfälliga användare.
Det fina med Eduroam är att flera radius-servrar är kedjade så att man kan skicka en förfrågan vidare om det aktuella lärosätets server inte känner till den del av nätverket som efterfrågas och kan svara ja eller nej. Förfrågan går i så fall vidare till landsdomänen. Om inte Sverige kan svara ja eller nej går frågan vidare till Europadomänen som då vet vart frågan ska ta vägen.
Hela routningen bygger på att universitetet del av nätverket (dess realm) finns med i användarnamnet. Kommer exempelvis användarnamnet kalle@gu.se från någonstans i Europa kommer förfrågan att gå till .se, som skickar den till .gu (Göteborgs Universitet). .gu kommer att autentisera och svara ja.
Svaret går tillbaka till accesspunkten, som släpper ut kalle@gu.se på internet.
Eduroam i Sverige:
www.eduroam.se
Eduroam internationellt:
www.eduroam.org
Swamid:
www.swamid.se
Swamid:s policy för att säkra identiteter (pdf):
tinytw.se/swasec
Skolfederationen, Swamids:s motsvarighet för grund och gymnasieskolor:
tinytw.se/skolfed
Om att sträcka ut Eduroam utanför lärosätena (pdf):
tinytw.se/eduout
