Jednoduchý popis fungování roamingu a mobility pro uživatele

Hlavní motivací pro vznik roamingu mezi organizacemi v rámci české NREN je bezesporu snaha umožnit uživatelům zcela transparentní přístup k síti v co možná největším počtu lokalit. Mít možnost dostat se na Internet nejen z univerzity, na které pracuji/studuji, ale i z jiné, kam jsem přijel jen na krátkou dobu, atp. To je cílem mobility a roamingu, který se neomezuje jen na ČR, na roamingu v současné době spolupracuje mnoho zemí v rámci celé EU. Uvažujme modelovou situaci, kdy uživatel z organizace A přijede na návštěvu do organizace B a chce využívat její síť (tento model je nejvíce patrný na příkladu bezdrátových sítí, ale situace se musí chápat obecně - nejen wifi, ale i kabelové sítě, term inálové haly, ...). Uživatel má pouze jedinou identitu (uživatelský účet vedený ve své domácí instituci) a s ní je schopen přihlášení do kterékoli spolupracující sítě. Celý systém je postaven tak, že na základě uživatelského jména jsou autentizační dotazy posílány do uživatelovy domovské sítě. Tam je rozhodnuto, zda je uživatel tím, za kterého se vydává, a zda má právo přístupu. Tato informace je přenesena zpět do navštívené sítě a přístupový mechanizmus (AP, switch, ...) se podle ní zařídí - buďto uživatele do sítě vpustí nebo jeho požadavek zamítne. Pro funkci takto nastíněného systému jsou nezbytné dvě věci. Uživatelské jméno, které v sobě nese informaci, odkud uživatel pochází, a autentizační infrastruktura, která je schopna přenášet autentizační data. Tvar uživatelského jména má proto následující syntaxi: “jmeno@realm”. Jméno je běžné uživatelské jméno platné v rámci dané instituce a realm určuje, o jakou organizaci jde. Tento tvar je velmi podobný formátu adresy elektronické pošty a je podobný i významově. Konvence realmu je převzata ze systému DNS a je rovněž hierarchická. Pro organizace v rámci ČR končí realm koncovkou “.cz”. Příklad uživatelského jména zaměstnance CESNETu tedy může být novak@cesnet.cz. Hlavním úkolem autentizační infrastruktury (AAI - autentication and authorization infrastructure) je nasměrovat ověřovací údaje do domácí sítě daného uživatele a přenést odpověď zpět na systém, který se dotazuje. Toto vše učinit bezpečně a spolehlivě. V současné době je AAI tvořena stromovou hierarchií RADIUS serverů. Pro ověřování uživatelů pro přístup do sítě se v současné době používají tři hlavní mechanizmy:

Tento způsob ověření je založen na schopnosti přístupového prvku (access point nebo switch) řídit provoz na jednotlivých portech. Uživatel se připojí k síti, ale veškerý datový provoz je blokován s výjimkou autentizačního protokolu. Klientský počítač (vybavený speciálním programem suplikant, který je schopen předávat autentizační data) pošle síťovému prvku informace o uživateli (jméno, heslo, případně certifikát nebo jiné autentizační údaje) a čeká na výsledek. Síťový prvek za dotáže přes autentizační infrastrukturu uživatelovy domácí sítě, zda jej může vpustit do sítě, a v závislosti na odpovědi buďto povolí nebo zablokuje přístup.

V tomto případě se uživatel připojený do sítě nejprve nedostane nikam jinam, než na WWW stránku, kde je požádán o zadání uživatelského jména a hesla. Přístup do sítě je blokován firewallem, který povolí další provoz k/od uživatele teprve v okamžiku, kdy dojde k úspěšnému ověření. Pro ověření se opět použije AAI a dotaz je směrován do domácí sítě uživatele.

Tato metoda ověřování je trochu odlišná od předchozích dvou, a to v tom smyslu, že se pro ověření nepoužije AAI. Hlavní myšlenkou je, že pokud se uživateli povede navázat spojení na domácí VPN (Virtual Private Network) koncentrátor, musí být v síti znám a mít právo ji využívat. Při použití této ověřovací metody se tedy uživatel k síti připojí, ale na firewallu je povoleno spojení pouze na úzce omezenou množinu VPN koncentrátorů všech spolupracujících institucí. Nikam jinam než na VPN brány se připojit nelze. Pokud se návštěvníkovi podaří navázat spojení se svou domácí bránou, ověří se a může již dál bezproblémově používat síť, jako by byl právě ve své kanceláři. Pokud ne, nikam se nedostane.

Před každou cestou, na které je plánováno využití služeb roamingu, je výhodné se detailně informovat o stavu na dané instituci. Zde je myšleno především jaký autentizační mechanizmus je použit, jaký je identifikátor sítě (SSID) - občas je potřeba jej zadat ručně, jaké je pokrytí signálem, atd. Není rovněž od věci požádat lokálního správce sítě o konzultaci a eventuální nastavení klientského počítače tak, aby byl připraven na podmínky v hostitelské síti. Snahou pochopitelně je, aby byl celý systém maximálně unifikovaný a jednoduchý, ale v počátcích tomu tak vždy být nemusí. Vlastní postup při připojení k síti pak závisí na použitém autentizačním mechanizmu.

Zde je potřeba spustit program suplikant, který zajistí komunikaci s aktivním prvkem sítě. V některých operačních systémech je tento program již pevně zabudován a není potřeba ho doinstalovávat (WinXP). Do suplikantu se zadají přihlašovací údaje (jméno/heslo) a pak již vše závisí na průběhu ověření. Pokud vše proběhne v pořádku, je síť k dispozici a k použití.

Pro připojení se k síti je potřeba aktivovat webový prohlížeč. Ten je již zpravidla automaticky nasměrován na přihlašovací stránku, kde se vyplní uživatelské jméno a heslo. Po úspěšné autentizaci je na firewalu povolen přístup do celé sítě.

Uživatel si ihned po připojení k síti spustí VPN klient a pokusí se připojit na svou domácí bránu. Pokud se mu to povede, je vyhráno a přístup do sítě je otevřen.