|
Eduroam
Permette a studenti, ricercatori e staff delle istituzioni partecipanti di connettersi a Internet
quando sono ospiti di altre istituzioni, utilizzando il proprio dispositivo e le proprie credenziali native.
Edurom è basata su standard internazionali. In particolare, per poter funzionare con Eduroam, è necessario che
il dispositivo dell'utente supporti la crittografia WPA2/AES e l'autenticazione IEEE 802.1X.
E' presente inoltre, nella procedura di configurazione, un ulteriore complesso aspetto che riguarda le scelte compiute dalla propria
organizzazione di appartenenza a proposito dei protocolli di autenticazione.
Per dare un'idea della questione, questi sono alcuni metodi di autenticazione EAP largamente diffusi.
EAP TTLS-PAP - Questo è il protocollo supportato dall' Università di Urbino,
ed è anche il solo protocollo supportato dal nostro Ateneo.
All'origine di questa che può sembrare una scelta restrittiva
c'è la decisione di mantenere le credenziali degli utenti in forma crittata sul database.
Vedremo come questa scelta renda inapplicabili altri protocolli.
PEAP - E' un protocollo proprietario di Microsoft. Richiede che le credenziali siano mantenute in chiaro sul database.
EAP TLS - E' basato sulla distribuzione di certificati a chiave pubblica. Efficace, ma richiede la generazione e l'installazione
di un certificato personale per ogni client.
EAP-PWD - Richiede che le credenziali siano mantenute in chiaro sul database.
Per chi volesse approfondire l'argomento della griglia di compatibilità fra i protocolli EAP e le password segnaliamo
questo link
Vediamo dunque nei dettagli come funziona e quali sono i passi per configurare il protocollo EAP TTLS-PAP.
Questo protocollo opera in due fasi distinte. Nella prima fase viene identificata l'istituzione di afferenza e
si crea un canale sicuro, crittato, fra il dispositivo dell'utente e il server dell'organizzazione, in questo caso il server Radius
dell'Università di Urbino.
La terminologia può variare leggermente a seconda del sistema operativo installato, ma i dati da inserire sono:
Sicurezza - 802.1x EAP
Protocollo EAP - EAP-TTLS (dove T TLS sta per tunneled TLS)
Identità anonima - anonymous@uniurb.it (serve solo a identificare l'istituzione)
Una volta stabilito il canale sicuro, su questo canale vengono inviate le reali credenziali dell'utente.
I dati da inserire sono:
Autenticazione fase 2 - PAP
Identità - lo username, per esempio paolo.cecchini@staff
Password - la solita password istituzionale usata per accedere ai servizi di Ateneo.
Complicato?
Probabilmente sì, come vedremo poi parlando del delicato caso di Windows Seven.
Esiste però una soluzione quasi indolore, perché il nostro Ateneo è mappato sul
CAT
e quindi è possibile scaricare l'installatore autoconfigurante per un largo numero di sistemi operativi.
Le piattaforme gestibili via CAT comprendono Windows 8 e 10, i sistemi Linux e Apple, Chrome OS e gli smartphone Android.
Nei casi non gestiti dal CAT occorrerà però configurare manualmente il dispositivo.
Un caso particolarmente delicato, in realtà spesso non risolvibile a meno che non si voglia mettere mano al portafoglio,
è quello di Windows 7. Diversamente dalle versioni più recenti (8, 10) infatti W7 non dispone nativamente del supporto
ai protocolli EAP. Esiste un client commerciale che funziona egregiamente. In alternativa, alcuni produttori permettono di scaricare
dai loro siti i driver necessari, ma si tratta di un approccio normalmente al di fuori della portata dell'utente medio.
|
