Stefan Winter
radsecproxy – a swiss army knife for eduroam [or: why does eduroam work on the
bus?]
http://tnc2009.terena.org/schedule/presentations/show.php?pres_id=42

bussiratkaisu malagassa ap-rasecproxy@localhost-umts-some eduroam radsec
server

Tomasz Wolniewitzi
Identity management of users in eduroam
http://tnc2009.terena.org/schedule/presentations/show.php?pres_id=43

Eduroam on suunniteltu siten että käyttäjän identiteetti on piilossa palvelun
tarjoajalta. On kuitenkin olemas keinoja jolla käyttäjän identiteetti saadaan
selville mutta se on hieman aikaavievää.

Uusi mahdollinen käyttäjän tunnistusmenetelmä/identiteetti muistuttaa paljon
mm. Shibbolethissa käytettävää edpersontargetedid:tä. Tällaisen id:n käyttö
helpottaisi eduroamin häiriökäyttäytymisen estämistä.

-Nykyisin joudutaan blokkaamaan koko idp yhden käyttäjän takia siksi aikaa
että kyseinen käyttäjä voidaan blokata idp:ssä joka blokkaa käyttäjään koko
eduroam realmissa

-Ehdotettu menetelmä mahdollistaisi yhden käyttäjän blokkaamisen varsinaisessa
palvelussa id:n avulla. Nykyisin tämä ei ole mahdollista koska käyttäjä
tunnistetaan MAC:n (Calling station id) avulla ja uusi kirjautuminen antaa aina käyttäjälle uuden MACin.

-guest accesseja käytetään väärin usein jos joku esim asuu linkin
kuuluvuusalueelle (laitetaan pysyviä yhteyksiä)

-Käyttäjäidentiteetti pitäisi ottaa käyttöön vain tarvittaessa ja se pitäisi
luoda siten että se on eri kaikilla palveluntarjoajilla eikä sitä pitäisi
pystyä palauttaamaan ulkopuolisten toimesta vaikka sen luomiseen käytetty
algoritmi paljastuisi

-MAC-osoitetta voitaisiin käyttää identiteettinä, mutta sen heikkoudet ovat
liian merkittäviä. Väärinkäyttäjät yleensä ovat aktiivisia ja voivat
helpohkosti vaihtaa MAC-osoitettansa. Tästä voi seurata duplikaatteja
macosoitteiita -> syy jonkun muun niskoille. MAC-osoite julkisilla koneilla
taas ei ollenkaan yksilöi käyttäjää.

Chargeable User Identity (CUI) on rfc4372:ssä määritelty yritys luoda anonyymi
identiteetti jotakäytetään lähinnä käytön määrän tutkimiseen laskuttamista
varten.

CUI eduroamissa:
-CUI voidaan muodostaa sitenn että otetaan käyttäjätunnus ja lisätään siihen
mahdollisesti joku stringi, näin saadusta merkkijonosta lasketaan md5-summa:
lisätään myös palveluntarjoajan nimi joten saadaan uniikki identiteetti
kaikille palvelutarjoajille
-sp käyttää tietokantaa ja tallentaa sinne käyttäjän MAC-osoitteen,
käyttäjätunnnuksen CUI:n ja NAS IP-osoitteen. Näin se voi tsekata kolmesta
tiedosta CUI:n. Tieto positetaan kannassta kun SP vastaanottaa yhteyden
purukupyynnön

Enrique de la Hoz
An Infocard-based proposal for unified single sing on
http://tnc2009.terena.org/schedule/presentations/show.php?pres_id=44

Muutama muistiinpano.

Eduroamissa kyttäjä on tunnistettuna niin kauan kuin on kirjautuneena. Ongelma
SSO:n toteuttamisesa on se, että eduroam on l2/l3 ja palvelut on ylemmissä
kerroksissa. SSO:n toteuttamiseksi voitaisiin käyttää infocardia (eduroam
information card). Infocard on  xml-dokumentti jossa uniikki avain käyttäjän
ja idp:n suhteesta (openid, sam1.1).

Tässä olisi seuraavia ominaisuuksia:
– voimassa ja käytettäissä eduroam session ajan
– ongelma: infokortin täytyy autentikoitua STS:ää vasten, mutta voidaan käyttää x.509 sertifikaatteja tai itseallekirjoitettuja infokortteja
– käytettyyn radius protokollaan pitäisi liittää oman itsemyönnetyn inforkortin cardID jota haluaa käyttää eduroam inforcardissa
– ei ihan yksinkertaista, vaatisi mm. freeradius serverin puukottamista
– demo aiheesta oli seikkaperäinen
– tulevaisuudessa projekti alkaa käyttämää Radiatoria koska radiuksen kanssa
liikaa ongelmia