Интеграция сервиса беспроводного международного доступа Eduroam в информационную инфраструктуру университета - RUNNet
←
→
Транскрипция содержимого страницы
Если ваш браузер не отображает страницу правильно, пожалуйста, читайте содержимое страницы ниже
Интеграция сервиса
беспроводного международного доступа Eduroam
в информационную инфраструктуру университета
Устинов В. А.
к.ф.-м.н., начальник управления корпоративного ИТ-обучения
и инноваций Дирекции информационных технологий
Совещание по развитию и повышению эффективности функционирования
Федеральной университетской сети России RUNNet.
16-18 мая 2018 г.
Проект Eduroam
• Eduroam –международный сервис безопасного
беспроводного доступа к Интернет, разработанный для
научного и образовательного сообщества;
• Благодаря Eduroam студенты и ученые всего мира могут
получить бесплатный доступ к Интернет на территории
любого университета - участника проекта со своего
ноутбука или мобильного устройства по Wi-Fi;
• Сеть Eduroam доступна более чем в 89 странах мира
• В России более 19 участников проекта;
• В России проект поддерживается Межведомственным
суперкомпьютерным центром Российской академии наук и
ФГАУ ГНИИ ИТТ «Информика».
2
Приоритеты выбора технических решений
• Легкость интеграции в существующую
информационно-технологическую инфраструктуру
университета;
• Простота обслуживания и сопровождения –
наличие минимального числа компонент;
• Обеспечение надежности при отказе отдельных
компонент системы;
• Возможность работы с существующими учетными
записями (логинами и паролями) пользователей в
корпоративной сети университета.
3
Особенности инфраструктуры УрФУ Развернута единая служба аутентификации и авторизации – единый каталог пользователей «AT.URFU.RU» на основе Microsoft Active Directory • Единый механизм аутентификации и авторизации пользователей; • Единая база данных об оргструктуре, сотрудниках, студентах, устройствах и сервисах; • Интеграция с кадровыми системами университета при помощи модуля синхронизации; • Корпоративная почтовая система для сотрудников на базе MS Exchange 2013 в зоне @urfu.ru с возможностью самостоятельно создать почтовый ящик; • Корпоративная почтовая система для студентов на базе Office 365 в зоне @urfu.me, с возможностью самостоятельной активации сервиса; • Модуль самообслуживания id.urfu.ru обеспечивает механизмы получения учетной записи пользователем, возможность сменить и восстановить пароль, изменить параметры профиля пользователя. 4
Интеграция единого каталога с HR системами
Число учетных
записей 65 921
пользователей
Число активных
учетных записей 7656
сотрудников
Число активных
учетных записей 31 208
студентов
Число учетных
записей 3293
компьютеров
Число почтовых
ящиков 7160
сотрудников
5
Корпоративная беспроводная сеть УрФУ
• Развернута корпоративная сеть Wi-Fi в 40 зданиях УрФУ;
• Любой пользователь УрФУ имеет возможность свободно подключаться к
корпоративной беспроводной сети университета и Интернет при помощи своей
учетной записи в едином каталоге пользователей.
Роль Площадка Оборудование Количество
Контроллеры Тургенева, 4 Cisco WLC 4400 1
беспроводной сети Cisco WLC 5520 2
(Mobility Anchor) Cisco WLC 5508 1
Контроллеры Софьи-Ковалевской, 5 Cisco WLC 4400 2
беспроводной сети Cisco WLC 5520 2
(Foreign Controller) Чапаева, 16а Cisco WLC 4400 2
Ленина, 13б Cisco WLC 4400 1
Беспроводная точка Все площадки УрФУ, Cisco AP 1131, 899
доступа имеющие Cisco AP 1142,
подключение к единой Cisco AP 2600,
КСПД УрФУ Cisco AP 3500,
Cisco AP 3600,
Cisco AP 2702,
Cisco AP 3702
Сервер Radius Тургенева 4, Ск-5 Cisco ACS Server 2 6Структура системы
1. Провайдер идентификации (IdP) - обеспечивает доступ пользователей
УрФУ к ресурсам Eduroam, в том числе в зарубежных образовательных
учреждениях.
• RADIUS-сервер в роли Identity Provider (IdP RADIUS);
• Единый каталог пользователей «AT.URFU.RU», и дополнительное ПО
(модуль синхронизации, модуль самообслуживания пользователей).
2. Сервис-провайдер (SP) - обеспечивает доступ к ресурсам Eduroam на
территории, покрытой беспроводной сетью УрФУ.
• RADIUS-сервер в роли Service Provider (SP RADIUS);
• Контроллеры беспроводной сети Cisco в роли Mobility Anchor;
• Контроллеры беспроводной сети Cisco в роли Foreign Controller;
• Беспроводные точки доступа Cisco;
• Набор межсетевых экранов Cisco ASA.
7Структура провайдера идентификации
Территория участника проекта eduroam
Сетевые ресурсы
участников проекта
eduroam
Точки доступа Wi-Fi
Пользователи
УрФУ
RADIUS-сервер
регионального оператора eduroam
Территория урфу
ПО единого
КД RADIUS-сервер УрФУ КД
IdP в DMZ Каталога
AT.URFU.RU AT.URFU.RU пользователей
в DMZ в DMZ 8Схема аутентификации для Сервис провайдера
Территория урфу
WLC
Точка доступа
RADIUS-сервер SP
Пользователи
WLC
Точка доступа Wi-Fi eduroam
Территория участника 2 проекта eduroam
RADIUS-сервер
регионального оператора RADIUS-сервер
Каталог
пользователей
RADIUS-сервер
Каталог
пользователей
Территория участника 1 проекта eduroam
9Технические решения по аутентификации
• Размещаются на одной площадке (ул.Тургенева, 4);
• Используется один Сервер в виде виртуальной машины, который
размещается в отказоустойчивом кластере HyperV на основе Windows
Server 2012 R2;
• Сервисы RADIUS подсистемы IdP и SP объединяются и размещены на одном
сервере;
• В качестве RADIUS-сервера используется стандартный компонент Microsoft
Windows Server – Network Policy Server (NPS).
Используются следующие суффиксы, для пользователей, которые смогут
аутентифицироваться в сети Eduroam, при нахождении вне УрФУ:
• @at.urfu.ru – стандартный суффикс имени пользователя в домене
AT.URFU.RU;
• @urfu.ru – стандартный суффикс имени пользователя для сотрудников,
имеющих корпоративный почтовый ящик в почтовой системе УрФУ.
10Технические решения по передаче трафика
Ресурсы сети
eduroam
Точки доступа
WLC,
Foreign Controller
(СК5)
High Availability Pair
Cisco ASA Cisco ASA
Точки доступа
WLC,
Foreign Controller
(Ленина 13)
КСПД УрФУ
WLC 5508
(Mobility Anchor)
WLC,
Foreign Controller
Точки доступа
Catalyst 4507 (Чапаева 16а)
WLC 4404
(Mobility Anchor) Тургенева, 4
Точки доступа 11Технические решения по передаче трафика
• Размещаются в основном на одной площадке (ул.Тургенева, 4);
• Точки доступа обеспечивают доступ пользователей к сети;
• Контроллеры БЛВС принимают трафик от точек доступа, ассоциированных с
данной площадкой, в CAPWAP-туннеле, принимают трафик пользователей
Eduroam в Mobility-туннеле от контроллеров в роли Foreign Controller.
Контроллеры отправляют трафик пользователей в выделенный VLAN и
осуществляют функции DHCP Relay для пользователей;
• Межсетевые экраны Cisco ASA являются шлюзом по-умолчанию для
пользователей. Маршрутизируют трафик пользователей. Осуществляют
фильтрацию трафика и трансляцию частных сетевых адресов пользователей
(NAT) из выделенного VLAN;
• DHCP-сервера (на площадках Т-04 и СК-5) предоставляют IP-адреса
пользователям Eduroam (подсеть /19 в 2017 г. фиксировалось до 600
уникальных ежедневных подключений);
• DNS-сервера (на площадках Т-04 и СК-5) в DMZ разрешают DNS-имена в IP-
12
адреса для пользователей Eduroam.Этапы выполнения проекта
1. Проектирование:
– Разработка технического проекта;
– Согласование схемы взаимодействия с оператором Eduroam в
РФ.
2. Настройка беспроводной сети и подсистемы аутентификации.
3. Запуск и отладка сервиса.
4. Разработка нормативной и эксплуатационной документации:
– Регламент Российской Удостоверяющей Федерации Eduroam;
– Положение об ИТ-сервисе Eduroam в УрФУ;
– Инструкция для пользователей сервиса;
– Карта покрытия Eduroam в УрФУ;
5. Опытно-промышленная эксплуатация, продвижение сервиса.
13Карта покрытия Eduroam
14Карта покрытия Eduroam
15Доработка модуля самообслуживания
16Доработка модуля самообслуживания
17Статистика подключений за 2017 г.
60
50
40
30
20
10
0
01.янв 01.фев 01.мар 01.апр 01.май 01.июн 01.июл 01.авг 01.сен 01.окт 01.ноя 01.дек
Количество уникальных подключений учетных записей УрФУ вне УрФУ
Количество уникальных подключений внешних учетных записей в УрФУ
18Статистика подключений за 2017 г. (всего 535 позиций)
Домен Организация число подключений
vse.cz The University of Economics, Prague 45
utb.cz Tomas Bata University in Zlín 36
czu.cz The Czech University of Life Sciences Prague 23
europa-uni.de European University Viadrina (Frankfurt Oder) 21
ujop.cuni.cz The Institute for Language and Preparatory Studies 16
sc.ku.dk University of Copenhagen 15
win.tu-berlin.de Technical University of Berlin 14
city.ac.uk City, University of London 13
student.um.si University of Maribor (Slovenia) 10
eduroam.muni.cz The institute of computer science 10
uni-freiburg.de University of Freiburg 10
cam.ac.uk The University of Cambridge 10
univie.ac.at University of Vienna 9
nhl.nl University of Applied Sciences (Netherlands) 9
students.fhv.at University of Applied Sciences (Dornbirn, Austria) 9
uea.ac.uk University of East Anglia 8
nottingham.edu.cn The University of Nottingham Ningbo China 8
hse.ru НИУ Высшая школа экономики 7
tpu.ru НИУ Томский политехнический университет 4
miet.ru НИУ Московский институт электронной техники 4
19Результаты
1. Проект реализован без закупки нового оборудования и ПО;
2. Реализация проекта Eduroam создает более комфортную
среду для научных сотрудников и студентов, участвующих в
международных обменах, и способствует повышению
международной конкурентоспособности университета;
3. Апробированные технические решения по реализации
сервиса в УрФУ могут быть использованы в качестве типовых
для реализации аналогичных проектов в других вузах;
4. Необходимы дополнительные усилия по информированию
пользователей университета о возможностях сервиса.
Vladimir.Ustinov@urfu.ru
20Вы также можете почитать
