Das klingt gut und ist nun möglich. Der Technikzauber hinter den Kulissen, der alles möglich macht, heißt Authentifizierung mittels 802.1x und RADIUS. Hinweise dazu später.
Wie Ihnen als treuer Leser der ZIDline sicher bekannt ist, betreibt die Abteilung Kommunikation ein TUNET Wireless LAN Service, welches Mitarbeitern und Studenten am Campus der TU Wien einen flexiblen mobilen Zugang zum TUNET via Laptop bzw. sonstigen drahtlosen Netzwerk-Klienten ermöglicht. Nach erfolgreicher Authentifizierung ist man dann für den Zugriff auf das Internet freigeschalten. Dazu ist ein entsprechender Account notwendig, die Authentifizierung erfolgt dabei über eine Webseite (Captive Portal) auf einem so genannten PNS (Public Network Services) Gateway. An diesem Mechanismus und den bestehenden Accounts ändert sich nichts.
Als Internet Serviceprovider verwendet die TU Wien seit nunmehr vielen Jahren ACOnet (das österreichische Wissenschaftsnetz, www.aco.net). ACOnet ist seit Oktober 2005 Teil des eduroam-Verbundes. Eduroam steht für Education Roaming und stellt die grundlegende Infrastruktur für das eduroam-Service zur Verfügung. Bei eduroam handelt es sich um ein internationales Projekt von TERENA (dem Dachverband der europäischen Wissenschaftsnetze). Es ermöglicht den Angehörigen der angeschlossenen Institutionen, sich mit den Zugangsdaten ihres Heimatnetzwerks auch im WLAN (Wireless Local Area Network) einer anderen teilnehmenden Einrichtung anzumelden. Das bedeutet, dass z. B. Angehörige der TU Wien mit ihrem Mobilnetz (WLANDEMO)- bzw. Studenten-Account den Internetzugang an Bildungs- und Forschungseinrichtungen in derzeit etwa 30 europäischen Staaten sowie in Australien und Asien nutzen können.
Alle Informationen zum eduroam-Projekt – auch eine Liste aller teilnehmenden nationalen Wissenschaftsnetze – erhalten Sie unter www.eduroam.org. Eine Übersichtsseite der beteiligten österreichischen Institutionen findet man unter http://www.aco.net/eduroam.html?&L=0. Derzeit nehmen in Österreich neben der TU Wien folgende Organisationen teil:
- Universität Wien
- Medizinische Universität Wien
- FH Vorarlberg (Dornbirn)
- Universität Graz
- Österreichische Akademie der Wissenschaften
- Wirtschaftsuniversität Wien
Für eduroam können sämtliche Access-Points der TU Wien genutzt werden. Auf der Webseite www.zid.tuwien.ac.at/eduroam/ finden Sie die Zugangsmöglichkeiten (d. h. die WLAN-Standorte) im Bereich der Technischen Universität Wien. Das eduroam-Netz ist ein verschlüsseltes WLAN-Netz und die verwendete Authentifizierung ist in jedem modernen Betriebssystem integriert.
Der eduroam-Zugang an der TU Wien richtet sich im Wesentlichen an folgende zwei Benutzergruppen:
- Ein TU-Angehöriger (gleich ob Mitarbeiter oder Student) möchte an einer anderen Universität, die auch am eduroam teilnimmt, das örtliche WLAN-Service mit seinem TU Wien Account nutzen.
- Gastprofessoren oder Gaststudenten anderer Universitäten kommen an die TU Wien und können dann ohne weiteres die TUNET WLAN-Infrastruktur nutzen, sofern sie in ihrem Heimatnetzwerk (das natürlich auch am eduroam teilnehmen und 802.1x Authentifizierung unterstützen muss) über einen entsprechenden Account verfügen.
Die Überprüfung der Zugangsberechtigungen innerhalb von eduroam erfolgt über hierarchisch organisierte Server, wobei die von TERENA betriebenen Toplevel-Server die Anfragen an die Authentifizierungsserver der teilnehmenden nationalen Netzbetreiber weiter leiten. Diese wiederum verteilen die Anfragen an die zuständigen Server der jeweiligen Mitgliedsinstitutionen.
Zu beachten ist, dass die eduroam-Infrastruktur nur dann genutzt werden kann, wenn das Heimat- und das Gastgeber-Netzwerk dieselbe(n) Zugangstechnologie(n) unterstützen. Ursprünglich war die Nutzung von eduroam über drei verschiedene Zugangstechnologien geplant, an der TU Wien wird jedoch nur die Methode mit 802.1x (ein Standard-Protokoll zur Authentifizierung in Funknetzen) unterstützt, die SSID dieses Netzes ist "eduroam". Die weiteren beiden Methoden bei der eduroam Authentifizierung, Captive Portal (Authentifizierung über eine Webseite, zu der jede Anfrage umgeleitet wird) und VPN (Virtual Private Network – direkte Verbindung zum heimischen VPN-Gateway ohne vorherige Authentifizierung im Gastnetz), stehen an der TU Wien nicht zur Verfügung. Sie sind hier nur der Vollständigkeit halber angeführt, da Sie möglicherweise in Ihrem Gastnetz darauf treffen können.
Die Skizze zeigt ein allgemeines Schema einer 802.1x Authentifizierung (technische Details siehe Unterlagen vom TERENA 802.1x Workshop: http://www.terena.org/activities/tf-mobility/1x/index.html).
Neben den Studierenden aller Universitäten, die beim eduroam-Projekt mitmachen, erhalten Studierende und alle Mitarbeiter der TU Wien automatisch Zugang zum eduroam-Projekt über die WLAN-Sender (Hotspots) der jeweiligen Organisation. Einzige Voraussetzung ist ein aktiver Account aus folgender Liste (es gelten die Benutzungsbestimmungen der TU Wien!):
| @student.tuwien.ac.at | Studentenaccount |
| @mobil.tuwien.ac.at | Mobilnetz-Zugang (WLAN) |
Ein TU-Benutzer erhält mit seinen TU-Zugangsdaten von jeder anderen teilnehmenden Institution aus Zugang zum Internet. Bitte informieren Sie sich vor Ort über die WLAN-Kennung und die entsprechenden Einstellungen für Ihr Gerät. Abhängig von lokalen Richtlinien der besuchten Institutionen, können darüber hinaus auch andere Ressourcen zur Verfügung stehen. Die Zugangsauthentifizierung erfolgt wie erwähnt aus Sicherheitsgründen ausschließlich über Authentifizierungsstandard IEEE 802.1x. Das bedeutet für Sie als Anwender, falls Sie bei einer externen Institution eine Anmeldung via Web-Interface angeboten bekommen, funktioniert diese nicht.
Was müssen Sie als Gast an der TU Wien nun tun, um eduroam benutzen zu können? Verwenden Sie Ihren Laptop wie Sie ihn immer in einer WLAN-Umgebung einsetzen, Sie müssen dazu nur statt der WLAN-Kennung Ihrer Heimatorganisation die SSID "eduroam" einstellen. Anleitungen finden Sie auf www.zid.tuwien.ac.at/eduroam/.
Sie bekommen nach erfolgreicher Authentifizierung via DHCP eine IP-Adresse aus dem TUNET und sind danach für eine entsprechende Kommunikation zum TUNET (dem Intranet der TU Wien mit seinen Servern und Services) freigeschalten. Ebenso ist der normale Zugriff auf das Internet erlaubt. Laut Security Policy der TU Wien ist jedoch ein Grundschutz aktiv (www.zid.tuwien.ac.at/sts/security/firewall/), wobei verschiedene Ports für die Kommunikation (in beide Richtungen – ankommend und abgehend) gesperrt sind. Dies gilt für alle Systeme im TUNET. Benötigt der Benutzer die entsprechenden Berechtigungen seines Heimatnetzwerkes (d. h. eine IP-Adresse aus seinem Heimatnetzwerk), so muss er die dafür vorgesehenen Mechanismen seines Heimatnetzwerkes nutzen. Im Normalfall wird dies ein VPN-Dienst sein. Aus dem eduroam-Netz der TU Wien ist weltweit der Zugang zu VPN-Konzentratoren freigeschalten.
Hinweis für alle Systemadministratoren: Die eduroam-Teilnehmer bekommen IP-Adressen aus einem offiziellen IP-Bereich der TU Wien zugewiesen. Das bedeutet, sie sind damit automatisch berechtigt, auf Services, die nur für TU-Angehörige bestimmt sind (wie z. B. lizenzrechtlich geschützte Zeitschriften- und andere Wissendatenbanken, Webseiten, die nur aus dem Intranet der TU Wien zugänglich sind etc.) zuzugreifen. Um so einen unerwünschten Zugriff von eduroam-Benutzern auf Ihre Services zu verhindern, blockieren Sie auf Ihrer Institutsfirewall bzw. direkt am Firewall Ihres Systems den Zugriff von Rechnern aus der Subdomain "eduroam.tuwien.ac.at" bzw. dem Netzbereich 128.131.194.0/23 (Subnetzmaske 255.255.254.0; das ist der Bereich von 128.131.194.0 bis 128.131.195.255).
1 ... Der Laptop mit seiner Wireless LAN Netzwerkkarte assoziiert sich am Access Point
2 ... Anlegen/Einstellen Netzwerkkennung (SSID) eduroam mit 802.1x und Benutzername/Kennwort
3 ... Authentifzierungsvorgang über RADIUS Server im TUNET/Heimatnetzwerk
4 ... Rückmeldung Status Authentifzierung/ Kommunikation AAA Server und ggf. Freischaltung
5 ... Zuweisung einer IP-Adresse aus
TUNET-Bereich via DHCP (Firewall & Security Policy)
6 ... Erlaubte Kommunikation Richtung TUNET/Internet