Eduroam:Verschil-eduroam-en-geteduroam

Uit Kennisnet Developers Documentatie
Naar navigatie springen Naar zoeken springen

Eduroam-symbol.png Eduroam: Verschil-eduroam-en-geteduroam

Verschillen tussen eduroam en geteduroam.

eduroam en geteduroam kunnen ook tegelijk gebruikt worden.

eduroam

Met eduroam worden verzoeken van de RADIUS server van de school naar de RADIUS server van Kennisnet gestuurd. Hierbij is een eigen RADIUS server noodzakelijk.

geteduroam

De geteduroam app configureert eduroam-accounts met behulp van per instelling op maat gemaakte profielen. Minder beheerlast dus voor instellingen, gebruikers kunnen zelf eduroam op de juiste manier op hun device zetten. Hierbij doorlopen gebruikers een aantal configuratiestappen en hoeven naast de naam van de organisatie geen verdere kennis te hebben van de specifieke wifi-instellingen.

De Apps zorgen voor de juiste en veilige configuratie. Bij pseudo-accounts is bij afronding direct duidelijk of de ingevulde gegevens correct zijn, anders blijkt dat uit de eerste authenticatie-poging.

Hosted geteduroam via Entree Federatie: Voor de configuratie met een pseudo-account, afgeleid van de authenticatie via Entree Federatie.

In dit geval loggen eindgebruikers in via de App en krijgt het apparaat na de Entree Federatie-authenticatie bij de eigen instelling een certificaat van Entree Federatie dat een jaar geldig is. Entree Federatie doet hiermee de eduroam (RADIUS) authenticatie.

Dit kun je zien als een hosted versie van eduroam. De configuratie met een pseudo-account is afgeleid van de authenticatie via Entree Federatie. In dit geval loggen eindgebruikers in via de App en krijgt het apparaat na de Entree Federatie-authenticatie bij de eigen instelling een certificaat van Entree Federatie dat een jaar geldig is. Entree Federatie doet hiermee de eduroam (RADIUS) authenticatie.

Voordelen

  • RADIUS server niet noodzakelijk.
  • Eenvoudig voor gebruikers, de app zorgt voor de configuratie van het certificaat.
  • Veilig omdat er pseudo accounts gebruikt worden.

Nadelen

  • VLAN toekenning is beperkt, zie hieronder
  • Er is internet nodig om via de app te authentiseren
  • Je hebt een federatief schoolaccount nodig via Entree Federatie, voor managed devices kan dit een issue zijn.
  • De certificaten moeten elk jaar opnieuw geïnstalleerd worden.

VLAN toekenning

Gebruikers zijn via geteduroam standaard herkenbaar aan het realm (@[rol].[instelling].geteduroam.nl), waardoor alsnog VLAN toekenning kan worden gedaan. De rol van de gebruiker wordt hierin meegestuurd, eduPersonAffiliation (@[rol].[instelling].geteduroam.nl). Die worden als volgt doorgegeven:

  1. student = @leerling.[instelling].geteduroam.nl
  2. employee = @medewerker.[instelling].geteduroam.nl

VLAN toekenning voor geteduroam gebruikers in NPS