Configurazione accessi WiFi INFN Workshop CCR '14 27-30 Maggio

Presentazione sul tema: "Configurazione accessi WiFi INFN Workshop CCR '14 27-30 Maggio"— Transcript della presentazione:

1 Configurazione accessi WiFi INFN Riccardo.Veraldi@cnaf.infn.it Workshop CCR '14 27-30 Maggio 2014 @LNS1

2 Tuto è nato con… TRIP Autenticazione 802.1x + EAP-TTLS (strutturati) – INFN-dot1x + eduroam Proxy radius – Autenticazione locale alla sede INFN (radius locale, kerberos, unix password, NIS…) Autenticazione portale WEB TINO – Autenticazione via https con certificato X509 oppure in locale username/password – NO PROXY Workshop CCR '14 27-30 Maggio 2014 @LNS2

3 INFN-Web INFN-dot1x router.x.infn.it WAN router.y.infn.itradius.y.infn.it radius.garr.net VLAN trunk Cisco AIR-AP1231G-E-K9 radius.x.infn.it tino.x.infn.it LAN switch-router layer 2 switch 802.1x VLAN Captive Portal VLAN Default VLAN Workshop CCR '14 27-30 Maggio 2014 @LNS3

4 Anomalie Alcune sezioni utilizzano ancora il portale Web TINO in proxy radius!! – Questo genera anche confusione fra gli utenti soprattutto per chi visita la Presidenza INFN “Perché in questa sede mi funziona e in quell’altra no” ? Molte sezioni supportano EAP-TLS – Questo perché è il default di freeradius – Per disabilitarlo va esplicitamente negato nel file users DEFAULT EAP-Type == EAP-TLS, Auth-Type := Reject – In principio non c’è nulla di male – In pratica si dà accesso a chiunque abbia un certificato INFN-CA (CIRMMP, dip. chimica, fisica, ecc di varie università italiane, ICTP, INGV, INAF, SISSA, Sns ecc.) – Unica ACL possibile l’elenco completo di tutti i CN con OU=INFN nel proprio server radius Alcuni utenti usano identità anonima Non è “polite” rende più difficile rintracciare un utente in caso di problemi Enforcing: if ( User-Name != outer.User-Name ) { fail } Alcuni utenti ancora non sanno o non hanno chiaro quali siano le loro credenziali 802.1x per l’accesso WiFi Workshop CCR '14 27-30 Maggio 2014 @LNS4

5 Configurazione Client 802.1x INFN-dot1x e eduroam – Windows 8 e Windows 8.1 Supplicant support anativamente EAP-TTLS Occorre solo inserire username e password – Windows 7 Occorre installare il supplicant SecureW2 Ogni servizio calcolo può chiedere al CNAF l’ultima versione aggiornata disponibile (700 licenze in tutto) – Windowx XP Richiede SecureW2 ma il S.O. ormai è unsupported – Linux Desktop (Ubuntu, Fedora ecc) NetworkManager supporta l’autenticazione 802.1x EAP-TTLS nativo – MacOS X Lion, Mountain Lion, Mavericks, iOS device tutti supportano EAP-TTLS in modo nativo Auto-configuratore per MacOS/iOS: https://www.cnaf.infn.it/eduroam/Lionhttps://www.cnaf.infn.it/eduroam/Lion – Eduroam CAT? Da testare sembra funzionare bene Istruzioni per utenti: – https://www.cnaf.infn.it/en/node/468 https://www.cnaf.infn.it/en/node/468 – Saranno integrate nel nuovo sito CCR dashboard Servizi Nazionali 5

6 Evoluzioni future ? Portale TINO integrato in AAI-IdP INFN – Il nuovo portale TINO supporta Shibboleth – Bocciato all’uninimità al workshop CCR Genova 2013 Devono essere implementati alcuni pezzi in GODiVA ?? – Interfaccia per l’inserimento di nuovi utenti anche all’ultimo minuto ?? Il portale comunque disincentiva l’utente all’utilizzo di 802.1x (eduroam) INFN-dot1x e eduroam – Integrazione in AAI (ldap+kerberos nazionali) ? Sezione INFN Bologna Non sono favorevole a questa soluzione GLI UTENTI INFN NON SONO OSPITI – DEVONO UTILIZZARE INFN-dot1x e eduroam GLI OSPITI INFN E SOLO LORO DOVREBBERO UTILIZZARE il portale INFN-Web Workshop CCR '14 27-30 Maggio 2014 @LNS6