Informazioni Tecniche

Eduroam è basato sullo standard IEEE 802.1x e su una rete gerarchica di proxy server RADIUS che instradano la richiesta di autenticazione prodotta dall’utente (presso qualsiasi istituzione federata a eduroam egli si trovi) verso il server RADIUS di autenticazione della propria organizzazione. Per questo motivo i parametri di autenticazione sono quelli forniti dalla propria istituzione e l’utente non può ricevere assistenza dal personale dell’istituzione che sta visitando.

Superata la fase di autenticazione l’utente riceve accesso a Internet. L’instradamento della richiesta di autenticazione generata dall’utente verso il proprio server RADIUS di autenticazione avviene come di seguito descritto.

Gli username degli utenti di eduroam devono obbligatoriamente essere della forma name@realm (ad es. galileo.galilei@unipd.it o elena.cornaropiscopia@unipd.it) dove realm è un dominio DNS gestito dall'Organizzazione e name è una stringa arbitraria. Il realm consente la corretta gestione delle richieste da parte della catena gerarchica dei server RADIUS della federazione.

In presenza del segnale eduroam il software “supplicant 802.1x” del dispositivo invia all’access point (definito “authenticator” dallo standard 802.1x, anche se non autentica) una authentication request. Ogni istituzione autentica solo gli utenti afferenti ai propri realm, mediante il proprio server RADIUS istituzionale (definito “authentication server” dallo standard 802.1x). Authentication request di altri utenti vengono inoltrate dal server RADIUS istituzionale al top server RADIUS nazionale della nazione dove si trova l’istituzione.

Il top server  RADIUS nazionale (NTLR, “National Top Level RADIUS”) consulta una tabella di relazione tra istituzioni e authentication server  della nazione di propria competenza e sua volta inoltrano le authentication request ricevute: o direttamente al server RADIUS di autenticazione dell’istituzione dell’utente o, se il dominio non è in tabella, al proprio Regional Top Level RADIUS (RTLR).

I RTLR consultano invece una tabella che correla le nazioni ai NTLR di competenza. L’instradamento prosegue quindi fino alla creazione di un canale criptato che parte dal supplicant e termina al RADIUS di autenticazione. Risolto con successo il processo di autenticazione (condotto mediante protocollo EAP: EAPOL per la parte wireless, EAP incapsulato RADIUS per la parte cablata) il canale criptato collassa e successivamente la sicurezza della connessione wireless tra il dispositivo dell’utente e l’AP è garantita al layer 2 dalla crittografia IEEE 802.11i - WPA2/AES Enterprise.

Il server RADIUS istituzionale dell’Università di Padova è gestito dal CSIA e autentica tutti gli utenti afferenti ai realm “unipd.it” e “studenti.unipd.it” con le credenziali di SSO di Ateneo. L’unico protocollo EAP che supporta è il Protected EAP (PEAP) nella versione PEAPv0: il metodo EAP usato per l’autenticazione dell’utente è MSCHAPv2 (tramite lo username e la password di Single Sign On) protetto da un tunnel TLS.

Il NTLR italiano è gestito dal Consortium Garr, il RTLR europeo (ETLR) è gestito da SURFnet in Olanda e UNI-C in Danimarca. Per l’area Asia-Pacific l’APTLR è gestita da AARNet e dalla University of Hong Kong.