Autentikacijska i autorizacijska infrastruktura sustava znanosti i visokog obrazovanja u Republici Hrvatskoj
  • Hrvatski
  • English

Spajanje na mrežu po eduroam standardu

Tehnički preduvjeti

Davatelji eduroam usluge trebaju imati:

  1. Funkcionalnu vezu na Internet;
     
  2. Bežičnu mrežu temeljenu na pristupnim uređajima (engl. Access Point) koji podržavaju 802.1x protokol uz WPA2/AES enkripciju i autentikaciju na vanjskom RADIUS poslužitelju;
     
  3. RADIUS poslužitelj s odgovarajućom konfiguracijom;
     

Konfiguriranje u skladu sa eduroam normama

Pristupne uređaje i RADIUS poslužitelj potrebno je konfigurirati na sljedeći način:

  1. Pristupni uređaji (Access point) trebaju biti konfigurirani prema sljedećim parametrima:
    SSID: eduroam
    Emitiranje SSID-a: Da
    Sigurnosna zaštita: WPA2/AES
    EAP (802.1x): EAP s potpunom RADIUS autentikacijom
    Autentikacija: Postaviti autentikaciju putem vanjskog RADIUS poslužitelja (unosom IP adrese i porta, npr.: 192.168.1.1:1812 - auth, 192.168.1.1 - acct)
  2. Ispravno konfiguriran RADIUS poslužitelj s funkcionalnostima za davatelje usluge (engl. Service providers). Upute za davatelje usluga dane su na stranici how to deploy eduroam on-site or on campus. Korisnici AAI@EduHr paketnog sustava mogu koristiti unaprijed konfiguriran freeradius-aai paket.
     
  3. Minimalni skup otvorenih mrežnih portova za eduroam korisnike:
    • Standard IPSec VPN: IP protocols 50 (ESP) and 51 (AH) both egress and ingress; UDP/500 (IKE) egress only
    • OpenVPN 2.0: UDP/1194
    • IPv6 Tunnel Broker service: IP protocol 41 ingress and egress
    • IPsec NAT-Traversal UDP/4500
    • Cisco IPSec VPN over UDP/TCP: UDP/TCP 10000
    • PPTP VPN: IP protocol 47 (GRE) ingress and egress; TCP/1723 egress only
    • SSH: TCP/22 egress only
    • HTTP: TCP/80 egress only
    • HTTPS: TCP/443 egress only
    • IMAP2+4: TCP/143 egress only
    • IMAP3: TCP/220 egress only
    • IMAPS: TCP/993 egress only
    • POP: TCP/110 egress only
    • POP3S: TCP/995 egress only
    • Passive (S)FTP: TCP/21 egress only
    • SMTPS: TCP/465 egress only
    • SMTP submit with STARTTLS: TCP/587 egress only
    • RDP: TCP/3389 egress only
       

Prijava davatelja usluge u eduroam sustav

  1. Popunite zahtjev za novim RADIUS resursom u Registru resursa od strane ovlaštene osobe ustanove;
     
  2. Pošaljite IP adresu RADIUS poslužitelja eduroam koordinatoru (timu Srca) na: admin@eduroam.hr;
     
  3. Izmjenite konfiguraciju RADIUS poslužitelja sukladno dobivenim uputama od tima Srca;
     
  4. Pošaljite potvrdu timu Srca o uspješnom spajanju na eduroam;
     
  5. Dodajte pristupnu lokaciju na kartu korištenje web aplikacije za administratore. Aplikaciji se može pristupiti prateći poveznicu 'Za administratore' iz glavnog izbornika ili klikom na poveznicu;
     

Dodatne upute za matične ustanove koje su sastavnice AAI@EduHr sustava

Postupak uvođenja eduroam usluge na matičnim ustanovama koje su sastavnice AAI@EduHr sustava dodatno je olakšan postojanjem unaprijed konfiguriranog freeradius-aai paketa za Debian distribuciju.

Matične ustanove moraju ispuniti dodatni korak pri uspostavi eduroam usluge: objaviti rootCA certifikat RADIUS poslužitelja u eduroam installer alatu. Taj certifikat bit će ugrađen u programsku podršku i upute generirane od strane installer alata, koji se koriste za jednostavno i sigurno konfiguriranje uređaja za spajanje na eduroam. Upute za taj korak nalaze se na stranici Kako omogućiti installer.eduroam.hr uslugu?