2 \subsection{Identity Provider und Service Provider
}
3 Um das Roaming von Endbenutzern so einfach wie möglich zu machen, wird in der Architektur von eduroam zwischen dem
\emph{Identity Provider
} (
\acr{IdP
}) und dem
\emph{Service Provider
} (
\acr{SP
}) unterschieden. Der Identity Provider ist für die Authentifizierung des sich einwählenden Benutzers zuständig, wobei der Service Provider den Netzzugang stellt, und mit dem Identity Provider kommuniziert, um den Benutzer zu authentifizieren.
5 Beispielsweise ist ein Benutzer, der ein Benutzerkonto an der
\acr{TU
} Braunschweig besitzt, zu Gast an der
\acr{TU
} Berlin, und will das dort vorhandene
\acr{WLAN
} benutzen. Beide Universitäten nehmen am eduroam-Programm teil. Bei der Einwahl in Berlin kommuniziert der zuständige Server dort mit dem Server in Braunschweig, der für die Benutzerauthentifizierung zuständig ist, und gestattet (oder verwehrt) aufgrund dessen Antwort dem Benutzer den Netzzugriff.
7 Andernfalls ist es natürlich auch möglich, dass Service Provider und Identity Provider die selbe Institution sind. Dies ist insbesondere der Fall, wenn Benutzer sich auf dem lokalen Campus einwählen.
9 \subsection{Sicherer Netzzugang durch
\acr{IEEE
802.1X
}}
10 Der sichere Netzzugang wird in eduroam durch den Standard
\acr{IEEE
802.1X
}
11 \cite{ieee802.1X
} auf
\acr{ISO/OSI
}-Layer
2 realisiert. Dabei muss sich der Rechner, der Zugriff auf das physikalische Netz erlangen will (der sogenannte
\emph{Supplicant
}) bei einem Server (dem
\emph{Authenticator
}) authentifizieren, bevor er Zugriff auf weitere Netzressourcen erhält.
12 Die Authentifizierung erfolgt dabei über das
\acr{EAP
}-Protokoll
\cite{rfc-eap
}, das verschiedene Mechanismen unterstützt (ursprünglich wurde
\acr{EAP
} über das Point-to-Point Protocol (
\acr{PPP
}) eingesetzt, die Implementierung in
\acr{IEEE
802}-Netzen wird deshalb zur Unterscheidung auch
\acr{EAPOL
} --
\acr{EAP
} over
\acr{LAN
} -- genannt). Diese Authentifizierungsmechanismen können prinzipiell frei gewählt werden, innerhalb des eduroam-Verbundes werden allerdings aus Gründen der Sicherheit die Abwandlungen
\acr{EAP-TLS
} \cite{rfc-eap-tls
},
\acr{EAP-TTLS
} \cite{rfc-eap-ttls
}, oder
\acr{PEAP
} \cite{draft-peap
} (weiteres dazu später) eingesetzt, die die Authentifizierung zur Erhöhung der Sicherheit über eine verschlüsselte Verbindung abwickeln.
14 Der Authenticator wird vom Service Provider bereitgestellt und ist in dessen Netz eingebunden, es kann sich dabei je nach Zugangsmedium um einen Access Point oder einen Router handeln. Er hat die Aufgabe, den Benutzer zu authentifizieren, indem er mit einen
\emph{Authentication Server
} (
\acr{AS
}) kommuniziert. Dieser wiederum kann sich im selben Netzwerk befinden, kann aber in der Netzwerktopologie auch beliebig weit entfernt sein.
18 \includegraphics[width=
0.6\textwidth]{8021X-Overview.pdf
}
19 \caption{Netzzugang durch
\acr{IEEE
802.1X
} (
\cite{commons8021X
}, Lizenz:
\acr{CC-BY-SA
3.0})
}
22 \subsection{Benutzerauthentifizierung und -authorisierung (IEEE
802.1X, RADIUS)
}