projects / seminar-bachelor.git / blob
? search:


d01018933fb6ced38764b7a96eea1fdf381800d3
[seminar-bachelor.git] / architektur.tex
1 \section{Architektur}
2 \subsection{Identity Provider und Service Provider}
3 Um das Roaming von Endbenutzern so einfach wie möglich zu machen, wird in der Architektur von eduroam zwischen dem \emph{Identity Provider} (\acr{IdP}) und dem \emph{Service Provider} (\acr{SP}) unterschieden. Der Identity Provider ist für die Authentifizierung des sich einwählenden Benutzers zuständig, wobei der Service Provider den Netzzugang stellt, und mit dem Identity Provider kommuniziert, um den Benutzer zu authentifizieren. Beispielsweise ist ein Benutzer, der ein Benutzerkonto an der \acr{TU} Braunschweig besitzt, zu Gast an der \acr{TU} Berlin, und will das dort vorhandene \acr{WLAN} benutzen. Beide Universitäten nehmen am eduroam-Programm teil. Bei der Einwahl in Berlin kommuniziert der zuständige Server dort mit dem Server in Braunschweig, der für die Benutzerauthentifizierung zuständig ist, und gestattet (oder verwehrt) aufgrund dessen Antwort dem Benutzer den Netzzugriff.
4
5 \subsection{Sicherer Netzzugang durch \acr{IEEE 802.1X}}
6 Der sichere Netzzugang wird in eduroam durch den Standard \acr{IEEE 802.1X}
7 \cite{IEEE802.1X} auf \acr{ISO/OSI}-Layer 2 realisiert. Dabei muss sich der Rechner, der Zugriff auf das physikalische Netz erlangen will (der sogenannte \emph{Supplicant}) bei einem Server (dem \emph{Authenticator} authentifizieren, bevor er Zugriff auf weitere Netzressourcen erhält.
8 Die Methode der Authentifizierung kann dabei prinzipiell frei gewählt werden, innerhalb des eduroam-Verbundes werden allerdings aus Gründen der Sicherheit die Protokolle \acr{EAP-TLS}, \acr{EAP-TTLS}, oder \acr{EAP-PEAP} (weiteres dazu später) eingesetzt, die die Authentifizierung über eine gesicherte Verbindung abwickeln.
9
10 Der Authenticator wird vom Service Provider bereitgestellt und ist in dessen Netz eingebunden, es kann sich dabei je nach Integrationsgrad und Zugangsmedium um einen Access Point, einen Switch bzw. Router, oder einen dedizierten Server handeln. Er hat die Aufgabe, den Benutzer zu authentifizieren, indem er mit einen \emph{Authentication Server} (\acr{AS}) kommuniziert. Dieser wiederum kann sich im selben Netzwerk befinden, kann aber in der Netzwerktopologie auch beliebig weit entfernt sein.
11
12 \begin{figure}
13 \centering
14 \includegraphics[width=0.6\textwidth]{8021X-Overview.png}
15 \caption{Netzzugang durch \acr{IEEE 802.1X} (Lizenz: \acr{CC-BY-SA 3.0 DE})}
16 \end{figure}
17
18 \subsection{Benutzerauthentifizierung und -authorisierung (IEEE 802.1X, RADIUS)}
Bachelor-Seminar, SS2010
This page took 0.042664 seconds and 3 git commands to generate.