eduroam w Polsce

Narzędzie instalacyjne eduroam CAT

Wstęp

CAT (Configuration Assistant Tool) pod adresem https://cat.eduroam.org jest systemem tworzącym instalatory eduroam dla szeregu popularnych platform. Obecnie wspierane są następujące systemy i metody EAP:

MS Windows Vista, 7PEAP, PWD, TLS
MS Windows 8, 8.1, 10TTLS-PAP, TTLS-MSCHAPv2, PEAP, PWD, TLS
Apple Mac OS X 10.7 i nowszeTTLS-PAP, TTLS-MSCHAPv2, PEAP
Apple iOSTTLS-PAP, TTLS-MSCHAPv2, PEAP
Android od 4.4
(wymaga pobrania darmowej aplikacji z Google play)
TTLS-PAP, TTLS-MSCHAPv2, PEAP, TLS
Linux (Network Manager)TTLS-PAP, TTLS-MSCHAPv2, PEAP, TLS

Zasada działania

Instalatory są przygotowywane na podstawie informacji konfiguracyjnych wprowadzanych przez administratorów poszczególnych instytucji. Podstawowym założeniem CAT jest tworzenie bezpiecznych konfiguracji, tzn. takich, które gwarantują, że użytkownik nie podłączy się do fałszywej sieci i nie narazi w ten sposób swoich danych logowania.

Założenia CAT wykluczają sytuację, w której użytkownik musiałby wprowadzić na portalu swoje dane logowania lub plik zawierający prywatny klucz użytkownika. Z tego powodu CAT nie wspiera TLS dla systemów Apple - profil instalacyjny musiałby zawierać indywidualny plik p12.

Administrator ma możliwość stworzenia konfiguracji odpowiadającej jego instytucji, a w ramach instytucji, dowolnej liczby profili dla grup użytkowników. Tworzenie odrębnych profili jest uzasadnione, gdy w zależności od grupy użytkowników stosuje się różne zasady.

Dostęp do instalatorów

Instalatory CAT mogą być udostępniane bezpośrednio ze strony cat.eduroam.pl, ale mogą być również dystrybuowanie ze stron instytucji partycypujących w eduroam. Niezbędnym warunkiem na to, by instalatory były dostępne na stronie CAT jest obecność instytucji w globalnej bazie eduroam.

Zarządzanie

Konfiguracje są tworzone przez administratorów instytucji, którzy muszą być wstępnie uwierzytelnieni. Uprawnienie do stworzenia konfiguracji instytucji jest nadawane przez krajowego administratora eduroam, który wysyła link inicjujący na adres administratora instytucji. Linki wysyłane są wyłącznie na adresy zarejestrowanie w bazie instytucji eduroam, po wcześniejszym zgłoszeniu tej potrzeby przez administratora instytucji.

Wysłane zaproszenie jest ważne przez 24 godziny. Link aktywacyjny prowadzi do strony logowania do portalu administracyjnego CAT. Do zalogowania można użyć dowolnego konta akceptowanego przez CAT. W przypadku Polski w praktyce sprowadza się to do skorzystania z konta u jakiegoś z wielkich dostawców tożsamości (np. Google), lub z konta dostępowego do portalu eduroam. Aby skorzystać z tej drugiej możliwości należy wybrać zakładkę "eduGAIN", a w niej "PIONIER Consortium". Pokaże się strona https://login.aai.propnier.net.pl podpisana certyfikatem TCS. Na tej stronie należy się zalogować tymi samymi danymi, co przy dostępie do portalu administracyjnego eduroam. Konto, z którego odbędzie się pierwsze logowanie zostanie związane z wysłanym zaproszeniem i od tej pory będzie trzeba z niego korzystać, aby uzyskać dostęp do zarządzania.

Administratorzy zaproszeni przez administratora krajowego mogą zapraszać kolejnych administratorów swojej instytucji. Administratorzy powołani przez administratora lokalnego nie mają jednak prawa zapraszania kolejnych.

Sugeruję, aby postarać się skonfigurować większość ustawień za pierwszym razem. Interfejs pracuje wówczas w specjalnym trybie wizzard wyświetlając szczegółowe podpowiedzi. Po zachowaniu ustawień będzie można w przyszłości korzystać z trybu edycji, który zakłada, ze administrator rozumie ustawienia i już nie wyświetla podpowiedzi.

ostatnia modyfikacja: 25-01-2018