SlideShare a Scribd company logo

Suomen eduroam-juuripalvelun uudistukset

Radiator Software
Radiator Software

Karri Huhtanen: Suomen eduroam-juuripalvelun uudistus -esitys Mobile Funet -työryhmän kokouksessa 30.1.2023

Technology
1 of 7
Download to read offline
SUOMEN EDUROAM-JUURIPALVELUN UUDISTUKSET 2023-01-30 Karri Huhtanen (Radiator Software Oy)
Alkutilanne ● Suomen eduroamin ja Funet-WLAN-verkkovierailun juuripalvelimen konfiguraatiota on kehitetty kokeiluista vuosina 2002-2003 ja vuodesta 2004 lähtien Arch Red Oy:n, nykyisen Radiator Softwaren palveluna CSC:lle. ● Radiatorin konfiguraatiota on muokattu lähemmäs 19 vuoden aikana, suurimmat muutokset on tehty rauta- tai virtualisointialustaa vaihtaessa. ● Konfiguraatiossa on aikojen saatossa tuettu useampia yhtäaikaisia roamausfederaatioita (Funet WLAN-verkkovierailu/eduroam), RadSecia sekä clienttien että realmien lisäämistä SQL-kannan avulla ilman katkoja. ● (Uusien) ominaisuuksien lisääminen muuttui ajan myötä haastavammaksi ja tästä syystä sovimme CSC:n kanssa juuripalvelun konfiguraation uudelleen kirjoittamisesta huomioiden nyky- ja tulevaisuuden tarpeet.
TTKK:n ja CSC tutkimusprojektin juuripalvelin 2004-02-11 Arch Red Oy:n toteuttama Radiator-juuripalvelin keväällä 2004 Vuodesta 2004
Eduroam-juuren uusi arkkitehtuuri radiator@ radsec_outbound _eduroam radiator@ radsec_inbound_ eduroam radiator@ radius_proxy_auth radiator@ radius_proxy_auth radiator@ radius_proxy_auth radiator@ radius_proxy_acct radiator@ radius_proxy_acct radiator@ radius_proxy_acct UDP 1813, 1646 UDP 1812,1645 TCP 2083 Suomen RadSeciä testaavat organisaatiot Suomen eduroam -organisaatiot Maailman DNS-hakua ja RadSeciä käyttävät organisaatiot Maailman eduroam-juuret RADIUS RADIUS (ei haluttu) RADSEC
Uudistukset juuren toiminnallisuudessa ● Skaalautuva hajautettu rakenne mahdollistaa suorituskyvyn noston lisäämällä virtuaalikoneelle prosessoreita, muistia jne. Prosessit voidaan hajauttaa tarvittaessa vaikka eri virtuaalikoneille ja/tai kontteihin. ● Uusi kanta (sqlite3), realmien käsittely ja rakenne yhdessä mahdollistavat jatkossa juuripalvelun pystytyksen ja hallinnan esim. Ansiblella ● RadSec (TCP, Radius over TLS, RFC 6614) käytännössä millä tahansa varmenteilla ● RadSec-palvelinten DNS-etsintä (DNS discovery, DNS roaming) ● RadSecilla suojatut verkkovierailut (roaming) suoraan DNS-etsinnän kautta tai RadSecilla eduroamin maailman juuripalveluiden kautta. Mahdollisuus suomalaisten organisaatioiden verkkovierailujen suojaamiseen myös. ● RADIUS Accountingin maadoittaminen: Suomen juuri vastaanottaa ja kuittaa, mutta ei välitä eteenpäin.
Uudistukset juureen liittyneille ● Uusi rakenne mahdollistaa helpomman organisaatiokohtaisen mukautuksen: ○ Organisaation RADIUS-palvelinten tilan tarkastus onnistuu sekä RADIUS Status-Server- että RADIUS Access Request -pyynnöillä ○ Juuri pystyy hajauttamaan organisaation suuntaan tulevat pyynnöt organisaation kaikille RADIUS-palvelimille (hashbalance) ○ RadSec voidaan ottaa käyttöön organisaatioilla sitä mukaa kuin kyvykkyyttä löytyy ● Staattisia RadSec-yhteyksiä voidaan kokeilla ja ottaa käyttöön heti kun saadaan sovittua varmenteiden käytöstä – juuri tukee useamman CA:n käyttöä ● Organisaatio voi ottaa kokeiluun ja käyttöönsä myös juuren kautta tapahtuvan dynaamisen RadSec-verkkovierailun lisäämällä tarvittavat DNS-tietueet (NAPTR, SRV) omaan nimipalveluunsa.
Kiitoksia. Kysymyksiä?

Recommended

eduroam ennen, nyt ja tulevaisuudessa
eduroam ennen, nyt ja tulevaisuudessaeduroam ennen, nyt ja tulevaisuudessa
eduroam ennen, nyt ja tulevaisuudessaKarri Huhtanen
 
TechDays 2010: Perinteinen palvelinympäristö
TechDays 2010: Perinteinen palvelinympäristöTechDays 2010: Perinteinen palvelinympäristö
TechDays 2010: Perinteinen palvelinympäristöJarno Mäki
 
KLehtomaa_HAMK_loppuseminaari_31.10.2013
KLehtomaa_HAMK_loppuseminaari_31.10.2013KLehtomaa_HAMK_loppuseminaari_31.10.2013
KLehtomaa_HAMK_loppuseminaari_31.10.2013Kari Lehtomaa
 
Sovellusmodernisoinnin webinaarisarja, osa 2: liiketoimintasovelluksen modern...
Sovellusmodernisoinnin webinaarisarja, osa 2: liiketoimintasovelluksen modern...Sovellusmodernisoinnin webinaarisarja, osa 2: liiketoimintasovelluksen modern...
Sovellusmodernisoinnin webinaarisarja, osa 2: liiketoimintasovelluksen modern...Karl Ots
 
Palveluverkkosuunnitelman laatiminen
Palveluverkkosuunnitelman laatiminenPalveluverkkosuunnitelman laatiminen
Palveluverkkosuunnitelman laatiminenrraisanen
 
Uusi MIF -kiertue. Kai Lehtonen: IT –infrastruktuurin uudistaminen IaaS –pilv...
Uusi MIF -kiertue. Kai Lehtonen: IT –infrastruktuurin uudistaminen IaaS –pilv...Uusi MIF -kiertue. Kai Lehtonen: IT –infrastruktuurin uudistaminen IaaS –pilv...
Uusi MIF -kiertue. Kai Lehtonen: IT –infrastruktuurin uudistaminen IaaS –pilv...Management Institute of Finland MIF
 
2014-12-01-Kansallinen palveluväylä
2014-12-01-Kansallinen palveluväylä2014-12-01-Kansallinen palveluväylä
2014-12-01-Kansallinen palveluväyläPetteri Kivimäki
 
Electronic work order management case study
Electronic work order management case studyElectronic work order management case study
Electronic work order management case studyLauri Anttila
 

Recommended

eduroam ennen, nyt ja tulevaisuudessa
eduroam ennen, nyt ja tulevaisuudessaeduroam ennen, nyt ja tulevaisuudessa
eduroam ennen, nyt ja tulevaisuudessaKarri Huhtanen
 
TechDays 2010: Perinteinen palvelinympäristö
TechDays 2010: Perinteinen palvelinympäristöTechDays 2010: Perinteinen palvelinympäristö
TechDays 2010: Perinteinen palvelinympäristöJarno Mäki
 
KLehtomaa_HAMK_loppuseminaari_31.10.2013
KLehtomaa_HAMK_loppuseminaari_31.10.2013KLehtomaa_HAMK_loppuseminaari_31.10.2013
KLehtomaa_HAMK_loppuseminaari_31.10.2013Kari Lehtomaa
 
Sovellusmodernisoinnin webinaarisarja, osa 2: liiketoimintasovelluksen modern...
Sovellusmodernisoinnin webinaarisarja, osa 2: liiketoimintasovelluksen modern...Sovellusmodernisoinnin webinaarisarja, osa 2: liiketoimintasovelluksen modern...
Sovellusmodernisoinnin webinaarisarja, osa 2: liiketoimintasovelluksen modern...Karl Ots
 
Palveluverkkosuunnitelman laatiminen
Palveluverkkosuunnitelman laatiminenPalveluverkkosuunnitelman laatiminen
Palveluverkkosuunnitelman laatiminenrraisanen
 
Uusi MIF -kiertue. Kai Lehtonen: IT –infrastruktuurin uudistaminen IaaS –pilv...
Uusi MIF -kiertue. Kai Lehtonen: IT –infrastruktuurin uudistaminen IaaS –pilv...Uusi MIF -kiertue. Kai Lehtonen: IT –infrastruktuurin uudistaminen IaaS –pilv...
Uusi MIF -kiertue. Kai Lehtonen: IT –infrastruktuurin uudistaminen IaaS –pilv...Management Institute of Finland MIF
 
2014-12-01-Kansallinen palveluväylä
2014-12-01-Kansallinen palveluväylä2014-12-01-Kansallinen palveluväylä
2014-12-01-Kansallinen palveluväyläPetteri Kivimäki
 
Electronic work order management case study
Electronic work order management case studyElectronic work order management case study
Electronic work order management case studyLauri Anttila
 
openroaming-and-capport-2023-01-30.pdf
openroaming-and-capport-2023-01-30.pdfopenroaming-and-capport-2023-01-30.pdf
openroaming-and-capport-2023-01-30.pdfRadiator Software
 
Adding OpenRoaming to existing IDP and roaming federation service
Adding OpenRoaming to existing IDP and roaming federation serviceAdding OpenRoaming to existing IDP and roaming federation service
Adding OpenRoaming to existing IDP and roaming federation serviceRadiator Software
 
OpenRoaming -- Wi-Fi Roaming for All
OpenRoaming -- Wi-Fi Roaming for AllOpenRoaming -- Wi-Fi Roaming for All
OpenRoaming -- Wi-Fi Roaming for AllRadiator Software
 
Fault-tolerant distributed AAA architecture supporting connectivity disruption
Fault-tolerant distributed AAA architecture supporting connectivity disruptionFault-tolerant distributed AAA architecture supporting connectivity disruption
Fault-tolerant distributed AAA architecture supporting connectivity disruptionRadiator Software
 
Radiator Portfolio Updates webinar, 8th and 10th of March 2022
Radiator Portfolio Updates webinar, 8th and 10th of March 2022Radiator Portfolio Updates webinar, 8th and 10th of March 2022
Radiator Portfolio Updates webinar, 8th and 10th of March 2022Radiator Software
 
Routing host certificates in eduroam
Routing host certificates in eduroamRouting host certificates in eduroam
Routing host certificates in eduroamRadiator Software
 
TNC19 Radiator Technical Workshop -- Meet Radiator developers
TNC19 Radiator Technical Workshop -- Meet Radiator developersTNC19 Radiator Technical Workshop -- Meet Radiator developers
TNC19 Radiator Technical Workshop -- Meet Radiator developersRadiator Software
 
TNC19 Radiator Technical Workshop -- Using Radiator to ensure better SP/IdP c...
TNC19 Radiator Technical Workshop -- Using Radiator to ensure better SP/IdP c...TNC19 Radiator Technical Workshop -- Using Radiator to ensure better SP/IdP c...
TNC19 Radiator Technical Workshop -- Using Radiator to ensure better SP/IdP c...Radiator Software
 

More Related Content

More from Radiator Software

openroaming-and-capport-2023-01-30.pdf
openroaming-and-capport-2023-01-30.pdfopenroaming-and-capport-2023-01-30.pdf
openroaming-and-capport-2023-01-30.pdfRadiator Software
 
Adding OpenRoaming to existing IDP and roaming federation service
Adding OpenRoaming to existing IDP and roaming federation serviceAdding OpenRoaming to existing IDP and roaming federation service
Adding OpenRoaming to existing IDP and roaming federation serviceRadiator Software
 
OpenRoaming -- Wi-Fi Roaming for All
OpenRoaming -- Wi-Fi Roaming for AllOpenRoaming -- Wi-Fi Roaming for All
OpenRoaming -- Wi-Fi Roaming for AllRadiator Software
 
Fault-tolerant distributed AAA architecture supporting connectivity disruption
Fault-tolerant distributed AAA architecture supporting connectivity disruptionFault-tolerant distributed AAA architecture supporting connectivity disruption
Fault-tolerant distributed AAA architecture supporting connectivity disruptionRadiator Software
 
Radiator Portfolio Updates webinar, 8th and 10th of March 2022
Radiator Portfolio Updates webinar, 8th and 10th of March 2022Radiator Portfolio Updates webinar, 8th and 10th of March 2022
Radiator Portfolio Updates webinar, 8th and 10th of March 2022Radiator Software
 
Routing host certificates in eduroam
Routing host certificates in eduroamRouting host certificates in eduroam
Routing host certificates in eduroamRadiator Software
 
TNC19 Radiator Technical Workshop -- Meet Radiator developers
TNC19 Radiator Technical Workshop -- Meet Radiator developersTNC19 Radiator Technical Workshop -- Meet Radiator developers
TNC19 Radiator Technical Workshop -- Meet Radiator developersRadiator Software
 
TNC19 Radiator Technical Workshop -- Using Radiator to ensure better SP/IdP c...
TNC19 Radiator Technical Workshop -- Using Radiator to ensure better SP/IdP c...TNC19 Radiator Technical Workshop -- Using Radiator to ensure better SP/IdP c...
TNC19 Radiator Technical Workshop -- Using Radiator to ensure better SP/IdP c...Radiator Software
 

More from Radiator Software (8)

openroaming-and-capport-2023-01-30.pdf
openroaming-and-capport-2023-01-30.pdfopenroaming-and-capport-2023-01-30.pdf
openroaming-and-capport-2023-01-30.pdf
 
Adding OpenRoaming to existing IDP and roaming federation service
Adding OpenRoaming to existing IDP and roaming federation serviceAdding OpenRoaming to existing IDP and roaming federation service
Adding OpenRoaming to existing IDP and roaming federation service
 
OpenRoaming -- Wi-Fi Roaming for All
OpenRoaming -- Wi-Fi Roaming for AllOpenRoaming -- Wi-Fi Roaming for All
OpenRoaming -- Wi-Fi Roaming for All
 
Fault-tolerant distributed AAA architecture supporting connectivity disruption
Fault-tolerant distributed AAA architecture supporting connectivity disruptionFault-tolerant distributed AAA architecture supporting connectivity disruption
Fault-tolerant distributed AAA architecture supporting connectivity disruption
 
Radiator Portfolio Updates webinar, 8th and 10th of March 2022
Radiator Portfolio Updates webinar, 8th and 10th of March 2022Radiator Portfolio Updates webinar, 8th and 10th of March 2022
Radiator Portfolio Updates webinar, 8th and 10th of March 2022
 
Routing host certificates in eduroam
Routing host certificates in eduroamRouting host certificates in eduroam
Routing host certificates in eduroam
 
TNC19 Radiator Technical Workshop -- Meet Radiator developers
TNC19 Radiator Technical Workshop -- Meet Radiator developersTNC19 Radiator Technical Workshop -- Meet Radiator developers
TNC19 Radiator Technical Workshop -- Meet Radiator developers
 
TNC19 Radiator Technical Workshop -- Using Radiator to ensure better SP/IdP c...
TNC19 Radiator Technical Workshop -- Using Radiator to ensure better SP/IdP c...TNC19 Radiator Technical Workshop -- Using Radiator to ensure better SP/IdP c...
TNC19 Radiator Technical Workshop -- Using Radiator to ensure better SP/IdP c...
 

Suomen eduroam-juuripalvelun uudistukset

  • 2. Alkutilanne ● Suomen eduroamin ja Funet-WLAN-verkkovierailun juuripalvelimen konfiguraatiota on kehitetty kokeiluista vuosina 2002-2003 ja vuodesta 2004 lähtien Arch Red Oy:n, nykyisen Radiator Softwaren palveluna CSC:lle. ● Radiatorin konfiguraatiota on muokattu lähemmäs 19 vuoden aikana, suurimmat muutokset on tehty rauta- tai virtualisointialustaa vaihtaessa. ● Konfiguraatiossa on aikojen saatossa tuettu useampia yhtäaikaisia roamausfederaatioita (Funet WLAN-verkkovierailu/eduroam), RadSecia sekä clienttien että realmien lisäämistä SQL-kannan avulla ilman katkoja. ● (Uusien) ominaisuuksien lisääminen muuttui ajan myötä haastavammaksi ja tästä syystä sovimme CSC:n kanssa juuripalvelun konfiguraation uudelleen kirjoittamisesta huomioiden nyky- ja tulevaisuuden tarpeet.
  • 3. TTKK:n ja CSC tutkimusprojektin juuripalvelin 2004-02-11 Arch Red Oy:n toteuttama Radiator-juuripalvelin keväällä 2004 Vuodesta 2004
  • 4. Eduroam-juuren uusi arkkitehtuuri radiator@ radsec_outbound _eduroam radiator@ radsec_inbound_ eduroam radiator@ radius_proxy_auth radiator@ radius_proxy_auth radiator@ radius_proxy_auth radiator@ radius_proxy_acct radiator@ radius_proxy_acct radiator@ radius_proxy_acct UDP 1813, 1646 UDP 1812,1645 TCP 2083 Suomen RadSeciä testaavat organisaatiot Suomen eduroam -organisaatiot Maailman DNS-hakua ja RadSeciä käyttävät organisaatiot Maailman eduroam-juuret RADIUS RADIUS (ei haluttu) RADSEC
  • 5. Uudistukset juuren toiminnallisuudessa ● Skaalautuva hajautettu rakenne mahdollistaa suorituskyvyn noston lisäämällä virtuaalikoneelle prosessoreita, muistia jne. Prosessit voidaan hajauttaa tarvittaessa vaikka eri virtuaalikoneille ja/tai kontteihin. ● Uusi kanta (sqlite3), realmien käsittely ja rakenne yhdessä mahdollistavat jatkossa juuripalvelun pystytyksen ja hallinnan esim. Ansiblella ● RadSec (TCP, Radius over TLS, RFC 6614) käytännössä millä tahansa varmenteilla ● RadSec-palvelinten DNS-etsintä (DNS discovery, DNS roaming) ● RadSecilla suojatut verkkovierailut (roaming) suoraan DNS-etsinnän kautta tai RadSecilla eduroamin maailman juuripalveluiden kautta. Mahdollisuus suomalaisten organisaatioiden verkkovierailujen suojaamiseen myös. ● RADIUS Accountingin maadoittaminen: Suomen juuri vastaanottaa ja kuittaa, mutta ei välitä eteenpäin.
  • 6. Uudistukset juureen liittyneille ● Uusi rakenne mahdollistaa helpomman organisaatiokohtaisen mukautuksen: ○ Organisaation RADIUS-palvelinten tilan tarkastus onnistuu sekä RADIUS Status-Server- että RADIUS Access Request -pyynnöillä ○ Juuri pystyy hajauttamaan organisaation suuntaan tulevat pyynnöt organisaation kaikille RADIUS-palvelimille (hashbalance) ○ RadSec voidaan ottaa käyttöön organisaatioilla sitä mukaa kuin kyvykkyyttä löytyy ● Staattisia RadSec-yhteyksiä voidaan kokeilla ja ottaa käyttöön heti kun saadaan sovittua varmenteiden käytöstä – juuri tukee useamman CA:n käyttöä ● Organisaatio voi ottaa kokeiluun ja käyttöönsä myös juuren kautta tapahtuvan dynaamisen RadSec-verkkovierailun lisäämällä tarvittavat DNS-tietueet (NAPTR, SRV) omaan nimipalveluunsa.