eduroam “next generation”

eduroam “next generation” 

Evolution des internationalen Roaming- Dienstes 

Stefan Winter, RESTENA 

DFN Betriebstagung, 3. März 2010 

connect • communicate • collaborate

RESTENA? 

Réseau Téléinformatique de l'Education Nationale et de la Recherche 

“das DFN von Luxemburg” 

Starker Fokus auf internationales 

Roaming :-) 

In GN3: Task Leadership für eduroam 

Forschung und Entwicklung 

(GN3-JRA3-T1) 

– radsecproxy 

– Chargeable-User-Identity 

– IETF Standardisierung von 

RADIUS über TLS (a.k.a. 

RadSec) 

– eduroam jenseits von Europa 

– ... 


Inhalt 

• Aktuelle Nutzerzahlen 

• Chargeable-User-Identity 

– Eine Einführung 

• RADIUS über TLS 

– Grundlagen 

– Zukünftiges Potential 

• radsecproxy 

• Internationales Peering 


Nutzerzahlen 

• Verdreifachung im letzen Jahr 

• mehrere zehntausend “Roaming-Tage” pro Monat 

• mehrere hunderttausend erfolgreiche Logins 

• Neue Länder: USA (viele .edu's), Papua-Neuguinea (.pg), ... 

• Dadurch aber auch: mehr Disziplin nötig beim “Routing” 

– als SP: alle unbekannten realms nach oben weiterleiten 

– Als FLR: nur innerhalb der eigenen TLD filtern 

– Nur root Server haben autoritative, globale Liste 

– Beispiel “.com kann ich blocken” -> FALSCH 

(www.duisenbergschooloffinance.com - noch kein 

Teilnehmer, aber in der Community) 


250000 

200000 

150000 

100000 

50000 

0 

september 2008 

International traffic 2008 - 2009 

october 2008 

november 2008 

december 2008 

january 2009 

(Folie mit freundlicher Genehmigung 

von SRCE, Kroatien) 

february 2009 

march 2009 

april 2009 

may 2009 

june 2009 

etlrs1 etlrs2 

july 2009 

august 2009 


october 2009 

november 2009 

december 2009 


250000 

200000 

150000 

100000 

50000 

0 

december 2008 

International traffic 2008 - 2009 

43398 

4298 

january 2009 

58599 

5421 

february 2009 

66224 

6841 

march 2009 

93746 

9477 

april 2009 

(Folie mit freundlicher Genehmigung 

von SRCE, Kroatien) 

103258 101164 

8408 

may 2009 

10827 

june 2009 

144709 

12558 

july 2009 

120383 

11609 

august 2009 

AuthNcount CSI 

136143 

10530 


204739 205464 

19737 

october 2009 

234030 

21322 21639 

november 2009 

december 2009 

141959 

30000 

25000 

20000 

15311 15000 

10000 

5000 

connect • communicate • collaborate 

0

Chargeable-User-Identity 

• Ausgangspunkt: 

– Benutzer in eduroam sind zu großen Teilen anonym 

• EAP: anonymous outer identity 

• MAC: Adresse änderbar 

– eduroam Prozedere: zum Blocken eines Individuums 

Heimatorganisation kontaktieren 

– Geht, ist aber langsam und “out-of-band” 

• Lösung: 

– Implementierung von RFC4372 “Chargeable User Identity” 

– SP kann einen Hash des inneren Bentzernamens anfragen 

– IdP erstellt ihn und sendet zurück – ändert sich nicht, auch bei 

anderer outer id und MAC Adresse 

• Kann zum Wiedererkennen und Blocken einzelner Benutzer verwendet 

werden 


RADIUS über TLS 

• RadSec Standardisierung weit fortgeschritten 

• Ersetzen statischer Verbindungen gut durch getestet 

• ... aber wir haben weitergehende Pläne: Dyamic Peer Discovery 

• Idee: User-Name xyz@realm.lu -> DNS Anfrage: eduroam Provider für 

realm.lu -> dort authentifizieren 

• Format im DNS noch im Flux. Derzeitige Idee: 

restena.lu has NAPTR record 100 10 "s" "x-eduroam:radius.tls" "" _radsec._tcp.restena.lu. 

_radsec._tcp.restena.lu has SRV record 0 0 2083 radius-1.restena.lu. • Unterstützt “2-Phasen-Modell” 

– FLR macht DNS Lookups 

– Für teilnehmende SP/IdP bleibt alles wie gehabt 

– Es gilt lediglich: alle IdPs in einem Land müssen ihre NAPTRs gesetzt 

haben 

– Wenn bereit, kann IdP alles selbst 

übernehmen 


RADIUS über TLS - CA 

• Internationales Testbed läuft aus: 

– bestand aus “eduGAIN-CA” und “eduGAIN-SCA” 

– RA Modell mit zentraler CA in Spanien (RedIRIS) 

• Produktionsinfrastruktur unterscheidet sich: 

– Task in GEANT3: eduPKI 

– entwickelt One-Statement policies für “eduroam IdP” und 

“eduroam SP” 

– akkreditiert CAs für den eduroam “bag” 

– Qualifizierte CAs stellen Zertifikate an eduroam Server mit 

entsprechendem Policy OID Feld aus 

– DFN-PKI selbstverständlich Kandidat hierfür! 

– eduPKI wird zusätzlich eigene “Orphanage” CA betreiben, falls 

ein NREN keine eigene qualifizierte CA bereitstellen kann 


adsecproxy 

• 1.3.1 aktuelles Release 

• + einige Fixes im SVN 

• Neuer Maintainer: Linus Nordberg 

• Feature Requests an Mailingliste: radsecproxy@uninett.no 

[zum dynamischen Peer Discovery siehe Vortrag von Stig Venaas von 

der 50. BT] 


Internationales Peering 

• In Europa gibt es die European eduroam Confederation von GEANT 

(36 Mitglieder) mit dazu passender Dienstbeschreibung und Policy 

(DS5.1.1) 

• Konföderationskonzept nicht tragfähig jenseits von Europa 

• NREN Konzept nicht tragfähig jenseits von Europa 

• WIP: eine “eduroam Declaration of Conformity” 

– regelt grundlegende Fragen (wie: Unterzeichner verpflichtet 

sich, nur Benutzer in R&E aufzunehmen) 

– weniger spezifisch als die EU-weite Dienstbeschreibung 

– Nur dieses Dokument erlaubt Nutzung des eduroam® 

Trademarks (von TERENA angemeldet) 


Vielen Dank für Ihre Aufmerksamkeit! 

Für weitergehende Fragen stehe ich selbstverständlich jetzt und 

auch später unter stefan.winter@restena.lu zur Verfügung!

eduroam “next generation”

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?