eduroam
Education Roaming (eduroam) ist eine Initiative, die Mitarbeitern und Studenten von partizipierenden Universitäten und Organisationen einen Internetzugang an den Standorten aller teilnehmenden Organisationen unter Verwendung ihres eigenen Benutzernamens und Passwortes oder eines persönlichen X.509-Nutzer-Zertifikates einer gültigen PKI über Wireless Local Area Network (WLAN) oder Local Area Network (LAN) ermöglichen will.
Ziel
Mitarbeiter und Studenten müssen bei Gastvorträgen, Auslandssemestern, Dienstreisen und ähnlichem an der Fremduniversität nicht erst einen Gastzugang beantragen, sondern können sich direkt mit ihren bekannten Daten einloggen. Mittlerweile sind fast alle europäischen Länder bei eduroam vertreten und immer mehr Universitäten der jeweiligen Länder schließen sich ihren Forschungsnetzen an. Inzwischen hat die Initiative weltweit viele Unterstützer, so im asiatisch-pazifischen Raum (z. B. Indien, Singapur), in Nord- und Südamerika (z. B. USA, Kanada, Brasilien), sowie im afrikanisch-arabischen Raum (z. B. Saudi-Arabien, Südafrika).
Technische Umsetzung
Jede Organisation stellt dabei ihre eigene WLAN-Infrastruktur zur Verfügung. Die Authentifizierung erfolgt in der jeweiligen Heimatorganisation des Benutzers durch das RADIUS-Protokoll. Dabei stellt TERENA, Gründer und Besitzer der Marke eduroam, den Root-Server, die Forschungsnetze der teilnehmenden Länder den länderspezifischen Server und die teilnehmende Organisation den Server mit den eigentlichen Benutzerkennungen. Der Serververbund bildet auf diese Weise eine hierarchische Baumstruktur, ähnlich dem Domain Name System. Dadurch muss keine Organisation ihre Benutzerkennungen in fremde Hände legen, da alle Daten auf dem eigenen Server verbleiben. Die Unterscheidung der Benutzerkennungen geschieht durch die Angabe eines Realms: statt Benutzername verwendet man außerhalb seiner Organisation Benutzername@meineOrganisation.tld. Die Anfrage wird dann automatisch an den richtigen Server weitergeleitet.
Die lokale Zugangsauthentifizierungstechnologie ist immer IEEE 802.1X. Dadurch ist gewährleistet, dass Benutzerdaten und Passwörter auf dem gesamten Weg zur Heimatorganisation verschlüsselt werden (Ende-zu-Ende-Verschlüsselung).
Sicherheitsbedenken
Zur Zeit des ersten eduroam-Prototyps wurde neben 802.1X auch der Login über ein Webportal betrieben. Auf diesem Kanal ist eine Ende-zu-Ende-Verschlüsselung der Benutzerdaten konzeptionell sehr schwierig; eine Verschlüsselung der Nutzerdaten auf dem WLAN-Medium ist nur über höhere Protokolle möglich, zum Beispiel IPSec/TLS-VPN etc. Die Nutzung von Web-Login-Portalen wurde daher in den Betriebsbedingungen 2005 verboten.
Der Login mit IEEE 802.1X lässt sich soweit absichern, dass der Benutzer verifizieren kann, dass er tatsächlich mit der eigenen Heimatorganisation verbunden ist, bevor er persönliche Daten (Passwort) preisgibt. Diese Sicherheitsüberprüfung findet am Gerät des Benutzers selbst statt. Es liegt daher in seiner eigenen Verantwortung, seinen 802.1X-Supplikanten ordnungsgemäß zu konfigurieren. Bei einer nutzerseitigen Fehlkonfiguration (beispielsweise eine abgeschaltete Überprüfung des Serverzertifikats oder des Server-Namens) ist daher die Vertraulichkeit des Logins nicht gewährleistet.
Weblinks
- RFC 7593 – Technische Umsetzung und Architektur
- Offizielle Website
- eduroam.de – Homepage der deutschen Initiative