Eduroam:Geteduroam: verschil tussen versies
(4 tussenliggende versies door dezelfde gebruiker niet weergegeven) | |||
Regel 16: | Regel 16: | ||
Hosted geteduroam via Entree Federatie: Voor de configuratie met een pseudo-account, afgeleid van de authenticatie via Entree Federatie. |
Hosted geteduroam via Entree Federatie: Voor de configuratie met een pseudo-account, afgeleid van de authenticatie via Entree Federatie. |
||
− | In dit geval loggen eindgebruikers in via de App en krijgt het apparaat na de Entree Federatie-authenticatie bij de eigen instelling een certificaat van Entree Federatie dat |
+ | In dit geval loggen eindgebruikers in via de App en krijgt het apparaat na de Entree Federatie-authenticatie bij de eigen instelling een certificaat van Entree Federatie dat een jaar geldig is. Entree Federatie doet hiermee de eduroam (RADIUS) authenticatie. |
Op deze manier is het ook mogelijk een eduroam-account aan te maken via Entree Federatie, de school moet alleen gekoppeld zijn met Entree Federatie. |
Op deze manier is het ook mogelijk een eduroam-account aan te maken via Entree Federatie, de school moet alleen gekoppeld zijn met Entree Federatie. |
||
Regel 23: | Regel 23: | ||
==Autorisatie== |
==Autorisatie== |
||
− | Gebruikers zijn herkenbaar aan het realm (@[instelling].geteduroam.nl), waardoor alsnog VLAN toekenning kan worden gedaan. |
+ | Gebruikers zijn standaard herkenbaar aan het realm (@[instelling].geteduroam.nl), waardoor alsnog VLAN toekenning kan worden gedaan. Daarnaast wordt de rol eduPersonAffiliation (@[rol].[instelling].geteduroam.nl) als volgt meegegeven: |
+ | *student = @leerling.[instelling].geteduroam.nl |
||
+ | *employee = @medewerker.[instelling].geteduroam.nl |
||
==Security en privacy== |
==Security en privacy== |
||
Regel 29: | Regel 31: | ||
==eduroam IdP as a Service== |
==eduroam IdP as a Service== |
||
− | De pseudo-accounts van geteduroam worden |
+ | De pseudo-accounts van geteduroam worden geauthentiseerd door een RADIUS-omgeving van Kennisnet. Hierdoor kan de RADIUS-koppeling tussen instelling en Kennisnet beperkt blijven tot uitgaande authenticatieverzoeken, er is geen IdP RADIUS-koppeling meer nodig. |
== ARP geteduroam == |
== ARP geteduroam == |
||
Regel 35: | Regel 37: | ||
[https://developers.wiki.kennisnet.nl/images/d/d3/ARP-geteduroam.pdf ARP geteduroam] |
[https://developers.wiki.kennisnet.nl/images/d/d3/ARP-geteduroam.pdf ARP geteduroam] |
||
+ | |||
+ | ==Issues== |
||
+ | ===ChromeOS=== |
||
+ | Update 07-11-2023: Sinds ChromeOS 114/115 kun je WiFi door Android Apps laten configureren, dat worden meegenomen in de development voor geteduroam. |
||
+ | Er is op dit moment geen app voor ChromeOS. |
||
+ | |||
+ | ===Windows 11 update=== |
||
+ | Mogelijk issue met de laatste Windows 11 update (22h2) voor Enterprise versies, hierbij is "Credential Guard" standaard actief, en daarmee lijkt NTLM/MSCHAPv2 authenticatie niet meer te functioneren. |
Huidige versie van 7 nov 2023 om 11:45
Werking van geteduroam
Voor eindgebruikers is geteduroam dé manier om eduroam op je apparaat te configureren op een gemakkelijke, juiste en veilige manier.
Deze app configureert eduroam-accounts met behulp van per instelling op maat gemaakte profielen. Minder beheerlast dus voor instellingen, gebruikers kunnen zelf eduroam op de juiste manier op hun device zetten.
De geteduroam Apps staan in de Google Play store en Apple App store voor Android en iOS/iPadOS. Voor Windows is er een installer (.exe) en voor macOS kunnen er profielen (.mobileconfig) worden gedownload. Deze worden via een website aangeboden. Linux en ChromeOS opties zijn nog in ontwikkeling.
Gebruikers doorlopen een aantal configuratiestappen en hoeven naast de naam van de organisatie geen verdere kennis te hebben van de specifieke wifi-instellingen.
De Apps zorgen voor de juiste en veilige configuratie.
Bij pseudo-accounts is bij afronding direct duidelijk of de ingevulde gegevens correct zijn, anders blijkt dat uit de eerste authenticatie-poging.
Inzetten van geteduroam
Hosted geteduroam via Entree Federatie: Voor de configuratie met een pseudo-account, afgeleid van de authenticatie via Entree Federatie.
In dit geval loggen eindgebruikers in via de App en krijgt het apparaat na de Entree Federatie-authenticatie bij de eigen instelling een certificaat van Entree Federatie dat een jaar geldig is. Entree Federatie doet hiermee de eduroam (RADIUS) authenticatie.
Op deze manier is het ook mogelijk een eduroam-account aan te maken via Entree Federatie, de school moet alleen gekoppeld zijn met Entree Federatie.
De workflow voor geteduroam is voor gebruikers vergelijkbaar met een instellings-account; de authenticatie van het echte gebruikersaccount verloopt alleen via de mobiele browser en de App.
Autorisatie
Gebruikers zijn standaard herkenbaar aan het realm (@[instelling].geteduroam.nl), waardoor alsnog VLAN toekenning kan worden gedaan. Daarnaast wordt de rol eduPersonAffiliation (@[rol].[instelling].geteduroam.nl) als volgt meegegeven:
- student = @leerling.[instelling].geteduroam.nl
- employee = @medewerker.[instelling].geteduroam.nl
Security en privacy
Profielen zorgen er in het algemeen voor dat de instellingen goed zijn waardoor het onderscheppen van een gebruikersnaam en wachtwoord niet kunnen. Daarom is elke inzet van geteduroam voor eindgebruikers veilig. De pseudo-accounts worden gemaakt puur voor wifi-toegang, en werken op basis van certificaten. Dit zijn credentials die bij het opzetten van de verbinding nooit onderschept kunnen worden, en zijn daarmee veiliger dan een gebruikersnaam en wachtwoord. Tegelijk zijn de accounts minder waardevol, omdat ze niet voor andere toepassingen gebruikt kunnen worden. De certificaten zijn (standaard) een jaar geldig, waarna de Apps waar mogelijk een push bericht geven voor verlenging/ herauthenticatie via Entree Federatie. Dat is bij Android pas in de toekomst mogelijk, deze gebruikers moeten er aan denken dat na een jaar er een nieuw profiel nodig is. Bij misbruik kan op basis van de gebruikersnaam en eventueel andere kenmerken de oorspronkelijke gebruiker aangeschreven worden en worden geblokkeerd. De gebruikersnamen zijn random en via de omgeving van Kennisnet herleidbaar om privacy te waarborgen.
eduroam IdP as a Service
De pseudo-accounts van geteduroam worden geauthentiseerd door een RADIUS-omgeving van Kennisnet. Hierdoor kan de RADIUS-koppeling tussen instelling en Kennisnet beperkt blijven tot uitgaande authenticatieverzoeken, er is geen IdP RADIUS-koppeling meer nodig.
ARP geteduroam
Voor de authenticatie via Entree Federatie is het extra attribuut nlEduPersonRealId benodigd. Hiervoor moet de school toestemming geven middels een ARP formulier.
Issues
ChromeOS
Update 07-11-2023: Sinds ChromeOS 114/115 kun je WiFi door Android Apps laten configureren, dat worden meegenomen in de development voor geteduroam. Er is op dit moment geen app voor ChromeOS.
Windows 11 update
Mogelijk issue met de laatste Windows 11 update (22h2) voor Enterprise versies, hierbij is "Credential Guard" standaard actief, en daarmee lijkt NTLM/MSCHAPv2 authenticatie niet meer te functioneren.