如何构建校园级eduroam网络

如何构建校园级eduroam网络

http://eduroam.cstnet.cn/docs/index.jhtml

如何构建校园级的eduroam网络.pdf

如何构建校园级的eduroam网络
1. 总览
eduroam 无线 WIFI 全球漫游服务联盟，目前已经覆盖全球七十多个国家和地区的大学及科研机构。参与该联盟的机构只需在本单位设立 eduroam 账户，
即可在全球实现无线网络访问的无障碍漫游。您在国外参加学术活动时可直接访问当地的eduroam并连入无线网。部署eduroam的SSID必须为“eduroam”。
关于如何构建校园级的eduroam网络，在eduroam官网有详细的说明文档。
本文档主要帮助中国的用户快速了解 eduroam 在校园或楼宇现有网络环境下的部署方法，包括部署架构、要求和简要步骤。
总体上，全球eduroam设施主要包括以下三部分服务：
1）顶级RADIUS服务器Confederation top-level RADIUS Server (TLR)
2）联盟级RADIUS服务器Federation-Level RADIUS servers (FLRs)
3）校园级RADIUS服务器IdP and SP RADIUS infratructure
顶级 TLR 服务器设置在欧洲荷兰和丹麦 eduroam 中心，负责根据地域（例如.nl, .dk, .au, .cn等）将不同的认证包转发到不同的FLR服务器。
eduroam在每个国家或地区会有FLR服务器，负责转发TLR以及中国大陆各科研教育机构IDP(Identity Provider)/SP(Service Provider)之间的认证请求。
本文中所述，即为构建校园级的二级 eduroam 网络，通常部署于研究所或大学校园里，即支持IDP/SP级别的RADIUS服务器，完成终端的eduroam IDP认
证和SP服务功能。每一个eduroam IDP负责认证该所属域的用户，通过校验本地用户的加密密钥对；而SP负责连接具有RADIUS功能的AP或交换机，并负责与认证访问用户所在域的RADIUS服务器建立加密通道，并进行实现认证，漫游
上网。通常IDP和SP可部署于一台RADIUS服务器上。
eduroam网络采用RADIUS/TLS协议，用户账号使用类似于”user@realm”的格式，其中realm通常指用户所在机构的dns域，后缀需符合该机构所在地域的域名标识（例如使用user@example.cn的账号才能完成到.cn的FLR的认证路由）。
为了实现RADIUS间安全的用户信息认证，AP或交换机需要使用IEEE 802.1X 的协议（SP端），支持EAP协议（Extensible Authentication Protocol ）。作为IDP端，可使用多种方式的EAP方法。通常在eduroam中采用的方法有：
PEAP ("Protected EAP")
TTLS ("Tunneled TLS")  
TLS ("Transport Layer Security")  
FAST ("Flexible Authentication via Secure Tunneling") 

2. RADIUS服务器安装和SP配置
1）下载软件：http://freeradius.org/download.html
2）安装软件，命令如下：

3）配置clients.conf文件(通常在/usr/local/etc/raddb目录)，添加FLR服务器：

4）配置clients.conf文件，添加无线控制器： 

5）配置转发策略
配置proxy.conf文件，添加认证转发策略。以cstnet.cn IDP服务器为例，后缀为cstnet.cn和不带后缀的用户名在本地认证，具体配置如下：

除后缀为realm.cn(本单位用户)和不带@后缀的用户名外，其他认证请求转发至159.226.11.46（如果本单位为大学用户，即用户后缀为edu.cn，请指向到162.105.129.2或162.105.129.2）。

6）配置CA。这里使用了CNNIC的快捷证书作为EAP的服务器证书，主要是在eap.conf下的tls标签内增加以下的配置： 

3. eduroam IDP设置
通常来讲，每一个IDP部署的RADIUS服务器，都会指向到本地已有的用户认证数据库，上层的 eduroam 路由会通过用户的格式（例如 user@realm）路由到用户所在的RADIUS IDP认证服务器，完成整个认证过程。
RADIUS 服务器上的 IDP 认证，可以采用本地配置文件方式，可以通过连接数据库方式，也可以通过使用用户认证LDAP方式。下面以LDAP配置为例。
LDAP的配置主要集中在/usr/local/etc/modules/ldap.conf文件中。

需要修改的地方是注意filter配置，这个是用来查询用户使用的。为了能够支持WPA2协议，LDAP中需要用ntPassword字段存储用户的使用NTHash后的密码。如有需要检查 ldap.attrmap文件，确保下面这行配置在配置文件中。