Autentikacijska i autorizacijska infrastruktura sustava znanosti i visokog obrazovanja u Republici Hrvatskoj
  • Hrvatski
  • English

Spajanje na mrežu po eduroam standardu

Tehnički preduvjeti

Davatelji eduroam usluge trebaju imati:

  1. Funkcionalnu vezu na Internet;
     
  2. Bežičnu mrežu temeljenu na pristupnim uređajima (engl. Access Point) koji podržavaju 802.1x protokol uz WPA2/AES enkripciju i autentikaciju na vanjskom RADIUS poslužitelju;
     
  3. RADIUS poslužitelj s odgovarajućom konfiguracijom;
     

Konfiguriranje u skladu sa eduroam normama

Pristupne uređaje i RADIUS poslužitelj potrebno je konfigurirati na sljedeći način:

  1. Pristupni uređaji (Access point) trebaju biti konfigurirani prema sljedećim parametrima:
    SSID: eduroam
    Emitiranje SSID-a: Da
    Sigurnosna zaštita: WPA2/AES
    EAP (802.1x): EAP s potpunom RADIUS autentikacijom
    Autentikacija: Postaviti autentikaciju putem vanjskog RADIUS poslužitelja (unosom IP adrese i porta, npr.: 192.168.1.1:1812 - auth, 192.168.1.1 - acct)
  2. Ispravno konfiguriran RADIUS poslužitelj s funkcionalnostima za davatelje usluge (engl. Service providers). Upute za davatelje usluga dane su na stranici how to deploy eduroam on-site or on campus. Korisnici AAI@EduHr paketnog sustava mogu koristiti unaprijed konfiguriran freeradius-aai paket.
     
  3. Minimalni skup otvorenih mrežnih portova za eduroam korisnike:
    • Standard IPSec VPN: IP protocols 50 (ESP) and 51 (AH) both egress and ingress; UDP/500 (IKE) egress only
    • OpenVPN 2.0: UDP/1194
    • IPv6 Tunnel Broker service: IP protocol 41 ingress and egress
    • IPsec NAT-Traversal UDP/4500
    • Cisco IPSec VPN over UDP/TCP: UDP/TCP 10000
    • PPTP VPN: IP protocol 47 (GRE) ingress and egress; TCP/1723 egress only
    • SSH: TCP/22 egress only
    • HTTP: TCP/80 egress only
    • HTTPS: TCP/443 egress only
    • IMAP2+4: TCP/143 egress only
    • IMAP3: TCP/220 egress only
    • IMAPS: TCP/993 egress only
    • POP: TCP/110 egress only
    • POP3S: TCP/995 egress only
    • Passive (S)FTP: TCP/21 egress only
    • SMTPS: TCP/465 egress only
    • SMTP submit with STARTTLS: TCP/587 egress only
    • RDP: TCP/3389 egress only
       

Prijava davatelja usluge u eduroam sustav

  1. Popunite zahtjev za novim RADIUS resursom u Registru resursa od strane ovlaštene osobe ustanove;
     
  2. Pošaljite IP adresu RADIUS poslužitelja eduroam koordinatoru (timu Srca) na: admin@eduroam.hr;
     
  3. Izmjenite konfiguraciju RADIUS poslužitelja sukladno dobivenim uputama od tima Srca;
     
  4. Pošaljite potvrdu timu Srca o uspješnom spajanju na eduroam;
     
  5. Dodajte pristupnu lokaciju na kartu korištenje web aplikacije za administratore. Aplikaciji se može pristupiti prateći poveznicu 'Za administratore' iz glavnog izbornika ili klikom na poveznicu na kojoj se nalazi sučelje za administraciju pristupnih eduroam lokacija;
     

Dodatne upute za matične ustanove koje su sastavnice AAI@EduHr sustava

Postupak uvođenja eduroam usluge na matičnim ustanovama koje su sastavnice AAI@EduHr sustava dodatno je olakšan postojanjem unaprijed konfiguriranog freeradius-aai paketa za Debian distribuciju.

Matične ustanove moraju ispuniti dodatni korak pri uspostavi eduroam usluge: objaviti rootCA certifikat RADIUS poslužitelja u eduroam installer alatu. Taj certifikat bit će ugrađen u programsku podršku i upute generirane od strane installer alata, koji se koriste za jednostavno i sigurno konfiguriranje uređaja za spajanje na eduroam. Upute za taj korak nalaze se na stranici Kako omogućiti installer.eduroam.hr uslugu?