Relatório sobre a infraestrutura de
servidores e pontos de acesso
Projeto Eduroam-br
Education Roaming em
Universidades Brasileiras
Abril de 2011
Autores:
Profa. Débora C. Muchaluat Saade (UFF/IC) - coordenadora
Prof. Célio Vinicius Neves de Albuquerque (UFF/IC)
Prof. Luiz Cláudio Schara Magalhães (UFF/TET)
Edelberto Franco Silva (UFF/IC)
Prof. Luís Henrique Maciel Kosmalski Costa (UFRJ)
Prof. Miguel Elias Mitre Campista (UFRJ)
Prof. Ronaldo Alves Ferreira (UFMS)
Profa. Hana Karina Salles Rubinsztejn (UFMS)
Brivaldo Junior (UFMS)
1. Introdução
O presente relatório apresenta a infraestrutura atual de servidores e pontos de acesso utilizada pelas três instituições envolvidas no projeto eduroam-br (education
roaming Brasil), UFF (Universidade Federal Fluminense), UFRJ (Universidade Federal
do Rio de Janeiro) e UFMS (Universidade Federal do Mato Grosso do Sul). Além da infraestrutura de hardware e software serão também indicadas as principais documentações utilizadas como base para a implementação do serviço eduroam em cada instituição.
O restante do texto está organizado da seguinte forma. A Seção 2 apresenta a topologia de rede e suas características (versões de software e endereços IP) e uma descrição da base de dados de usuários utilizada por cada instituição. A Seção 3 faz um breve relato sobre o uso e criação de documentação como forma de auxílio na instalação e configuração do ambiente e ainda, na Seção 4, são expostos os principais problemas e soluções encontrados. As combinações e indicação de status atual para os testes locais e de roaming entre as instituições são apresentadas na Seção 5. Finalmente a Seção 6 conclui o relatório.
2. Infraestrutura de servidores e pontos de acesso
Esta seção apresenta as configurações separadamente para cada instituição.
2.1. UFF
A topologia descrita pela Figura 1 demonstra o ambiente atual de testes interno à UFF. Existem dois pontos de acesso oferecendo o serviço eduroam, um instalado no Laboratório MídiaCom, nas dependências do Departamento de Engenharia de Telecomunicações, e outro no Laboratório da Pós-graduação do Instituto de Computação. Pela figura, observa-se ainda possível observar que os servidores RADIUS e LDAP estão instalados e configurados sob máquinas virtuais VirtualBox.
Ambos os pontos de acesso utilizados nos departamentos são do modelo
Linksys WRT54G com seu firmware original. A necessidade principal durante a
escolha do modelo de ponto de acesso se baseou basicamente no suporte ao protocolo 802.1X para autenticação dos usuários.
A seguir são descritas as versões de softwares utilizadas nas configurações dos servidores:
• Servidor (SRV) VirtualBox: neste servidor é onde residem as máquinas virtuais referentes ao servidor da federação e da instituição.
o IP: 200.20.0.38
o Versão S.O.: Linux Ubuntu 10.04 o Versão do VirtualBox: 4.0
• Servidor da Federação: o servidor da federação é responsável pelo encaminhamento das requisições entre as instituições envolvidas conforme seu endereço de domínio (realm).
o IP: 200.20.10.88
o Versão S.O.: Linux Ubuntu 10.10 o Versão RADIUS: FreeRADIUS 2.1.10
• Servidor da Instituição: responsável pelo recebimento das requisições do cliente e conferência na base de dados LDAP. Atualmente o endereço de domínio correspondente à UFF na base de teste é @uff.br.
o IP: 200.20.0.37
o Versão S.O.: Linux Ubuntu 10.10 o Versão RADIUS: FreeRADIUS 2.1.10 o Versão LDAP: OpenLDAP 2.4.11 o Porta FreeRADIUS: 1812 (padrão)
• Pontos de acesso: responsáveis pela comunicação entre o cliente e servidor RADIUS por meio do 802.1X.
o Marca: Linksys WRT54G o Firmware: original
Figura 1 – Topologia atual de rede da UFF.
A base de dados atualmente utilizada na UFF foi gerada a partir da base local de usuários do laboratório MídiaCom por meio de conversão entre os formatos passwd e
shadow (nativos do Linux) utilizados pelo NIS para o LDAP. Essa conversão é descrita
na documentação adicional que está sendo gerada e será disponibilizada ao final do projeto.
É possível visualizar na Figura 2 como se encontra atualmente a disposição da base LDAP na UFF. Seguindo uma leitura top-down do diagrama, podemos ver as Organizações representadas pelo “dc” onde, se unirmos os “dc” em uma leitura inversa (down-top), temos o domínio uff.br. Logo em seguida a Unidade Organizacional compreendida àquela Organização, representada por “ou” se divide em Grupos e Pessoas. Os usuários cadastrados na base de dados encontram-se abaixo de “ou=People”.
Figura 2 – Visão da base LDAP atual da UFF.
Os campos que compõem cada usuário podem ser visualizados a seguir a partir da descrição do usuário “teste”. Onde, os campos de senha sambaNTpassword e
userPassword foram suprimidos.
dn: uid=teste,ou=People,dc=uff,dc=br cn: Teste do eduroam objectclass: sambaSamAccount objectclass: person objectclass: inetOrgPerson Base LDAP dc = br dc = uff ou= Groups ou= People
cn= Edelberto Franco cn= Débora Christina ..
sambantpassword: HASH_NT sambasid: 1
sn: do Teste eduroam uid: teste
userpassword: SENHA DO TIPO {CRYPT}, {SSHA}, {SHA}, {SMD5}, {MD5} etc.
2.2. UFMS
A topologia descrita pela Figura 3 diz respeito à UFMS em seu ambiente de testes. Inicialmente, a base de dados LDAP utilizada foi uma base de testes e atualmente é a base real de usuários da instituição. Vale frisar que essa instituição já utilizada a CAFe (Comunidade Acadêmica Federada) e seu esquema brEduPerson.
Todas as requisições cujo realm não seja ufms.br são encaminhadas ao servidor da federação, como ilustrado na Figura 3.
Figura 3 – Topologia atual da rede UFMS Os softwares e APs utilizados pela UFMS são:
• Servidor rodando Debian Squeeze 6.0 - IP: 200.129.192.94 • FreeRADIUS 2.1.10
• OpenLDAP 2.4.23
• AP 3COM 7760 (com suporte a IAPP e até 4 VLANs) - IP: 200.129.202.132
• Domínio: ufms.br
Na Figura 3 a cor vermelha significa a comunicação entre os servidores, já a cor verde significa a comunicação referente à solicitação de autenticação do usuário (local ou em roaming). Se for local, a resposta à solicitação de autenticação é dada
diretamente pelo servidor RADIUS local, se não, essa requisição será encaminhada ao servidor da federação eduroam-br através da Internet. Uma vez o usuário autenticado com sucesso, as setas em azul são o caminho lógico para receber IP por DHCP, gerar vínculo de MAC/IP no firewall e liberar navegação.
Os usuários irão se conectar ao AP, que vai utilizar criptografia WPA2 Enterprise com um servidor RADIUS de autenticação, utilizando 802.1x para autenticação e o protocolo PEAP/MSCHAPv2 como canal com o FreeRADIUS. O mais recomendado seria utilizar um Supplicant com EAP-TTLS/PAP, mas nem todos os sistemas operacionais possuem nativamente tal suporte, por isso, foi utilizado o PEAP/MSCHAPv2.
Os usuários da UFMS estão em uma base OpenLDAP, que recebe conexões do FreeRADIUS utilizando um canal seguro com TLS. Um ponto interessante dessa infraestrutura diz respeito à mobilidade do usuário entre os APs usando IAPP (802.11f), onde um usuário será transferido de forma transparente a outro AP caso esse possua uma maior potência de sinal sem a necessidade de reassociação pelo cliente.
2.3. UFRJ
A topologia da UFRJ conta com um ponto de acesso Linksys WRT54G, um servidor executando em um desktop padrão com Linux Ubuntu, FreeRADIUS 2.1.10 e OpenLDAP 2.4.23, cujo IP responde por 146.164.69.102. O servidor ainda está conectado à Internet. As versões utilizadas foram padronizadas conforme conversa prévia ao início das atividades.
Figura 4 - Infraestrutura atual da UFRJ
Uma base LDAP de dados de usuários foi criada internamente ao GTA (Grupo de Teleinformática e Automação) para a realização dos testes referentes ao projeto eduroam-br.
3. Uso da documentação disponível
Em relação à documentação até o momento, pode-se citar como maiores fontes os arquivos disponíveis no site do eduroam.org, como o cookbook [1] e os guias para as configurações tanto no nível institucional como da federação [2], além dos slides disponíveis em [3], fornecendo um maior embasamento teórico sobre os aspectos envolvidos no projeto eduroam. Ainda pode-se citar como referências as configurações em Linux do Server Guide disponível pelo próprio Ubuntu em sua versão 10.10 no endereço [4] e a documentação disponível pelo projeto FreeRADIUS [7].
Durante a fase de configuração, as reuniões técnicas foram essenciais para o andamento do projeto e cumprimento das expectativas. A UFRJ ressalva que as
documentações adicionais produzidas pela UFMS e UFF foram muito úteis e serviram como fonte de consulta para em todas as etapas, além de servir como fonte de confirmação para os momentos de ratificação dos procedimentos. Como o processo de configuração foi interativo entre os grupos as trocas de informações por e-mail foram de primordial importância. Essas duas fontes de consulta, a saber, da UFMS e da UFF se mostraram bem atualizadas e completas, registrando sempre os resultados das discussões com as melhores práticas definidas pelos grupos atuantes. Outras dúvidas foram esclarecidas com a ajuda das ferramentas de pesquisa na Internet.
A documentação complementar citada neste relatório estará disponível como documentação adicional ao final do porjeto em suas respectivas versões finais. A UFF está na versão 2.0 de seu cookbook, que compreende toda a instalação e configuração até o momento, inclusive enfatizando os arquivos de configuração do FreeRADIUS e migração da base de dados. Há ainda um documento gerado como auxílio à configuração do arquivo proxy.conf, arquivo este que é responsável pelo encaminhamento de requisições cujo domínio não seja a própria instituição à federação. A documentação gerada pela UFMS pode ser encontrada em [8] e a documentação gerada pela UFF em [9].
4. Problemas e soluções
Em diversas etapas deste projeto foram enfrentados desafios em relação tanto à adequação das configurações quanto a problemas técnicos. Para ilustrar esse tipo de limitação técnica podemos citar a falta de suporte nativo dos clientes com sistemas operacionais da família Windows a tipos de hash e criptografia demandando a instalação de softwares de terceiros para a adição desse suporte. A família Windows provê suporte apenas ao método EAP-PEAP e MSCHAPv2. Para que seja possível utilizar outros métodos de autenticação, é necessária a instalação do suporte a esses protocolos por meio de suplicantes de terceiros, responsáveis pela adição desses recursos e sua configuração.
A Tabela 1 descreve se há suporte nativo de cada plataforma ao método de autenticação utilizado. Quando não há esse suporte, como já citado, é necessária a instalação de softwares de terceiros como SecureW2 [5] e Xsupplicant [6].
Tabela 1. Suporte a métodos de autenticação no SOs
Fabricante Dispositivo/S.O. TTLS-PAP PEAP-MSCHAP(v2)
Apple iPhone/iPad/iOS 4.0+ Não Sim
Apple MacBook/Leopard Sim Sim
Google Android/2.1+ Sim Sim
Microsoft Windows XP/Vista/7 Não Sim
Linux Ubuntu 10.04+ Sim Sim
Cada instituição pode definir o(s) método(s) de autenticação a que deseja dar suporte, pois esta configuração só afeta os usuários da própria instituição. O método mais seguro é o EAP-TTLS/PAP, entretanto, o EAP-PEAP/MSCHAPv2 facilita a configuração dos clientes em determinados dispositivos. Atualmente, a UFF, UFRJ e UFMS oferecem os dois métodos.
Muitas das dúvidas e dificuldades em relação às configurações foram solucionadas a partir da ajuda mútua entre as instituições envolvidas pela lista de discussão criada para o projeto denominada eduroam-br@midiacom.uff.br.
Durante a configuração do LDAP, foram encontrados problemas com a definição dos schemas que deveriam ser usadas no projeto. O schema é um pacote com classes e atributos que quando importado para o banco de dados permite que seus campos sejam usados pelo LDAP. Cada schema contém classes e atributos diferentes, podendo ter mais de um campo usado ao mesmo tempo.
5. Testes de roaming entre instituições
Foram realizados os testes de roaming entre as instituições e descritos na forma da Tabela 2. Para facilitar estes testes cada instituição gerou em sua base de dados um usuário de “teste”. Seguem os dados referentes a esses usuários:
• UFF o usuário: teste@uff.br o senha: teste123 • UFRJ o usuário: teste@gta.ufrj.br o senha: teste123 • UFMS o usuário: testernp@ufms.br o senha: senha1234
O roaming consiste na habilidade de se estender a cobertura de uma rede a um usuário que está fora de sua área de cobertura local. Por isso, os testes de roaming foram feitos de maneira a simular o acesso de um usuário de outra instituição à rede sem fio local de cada instituição parceira.
Basicamente, quando um usuário com um login contendo um domínio externo (realm) tenta autenticar na rede local, o servidor re-encaminha o pedido de validação de usuário e senha ao servidor da federação, por meio do proxy.
Todos os métodos de autenticação foram combinados tanto pelo cliente de linha de comando do Linux radtest quanto pelo suplicante nativo de cada sistema operacional e de terceiros, quando necessário. As Tabelas 2, 3 e 4 mostram o status atual dos testes de roaming realizados pela UFF, UFMS e UFRJ respectivamente. A Tabela 5 exibe a legenda de cores utilizada.
Tabela 2. Status atual dos testes de roaming realizados pela UFF
UFF UFRJ UFMS
radtest teste@uff.br radtest teste@gta.ufrj.br radtest testernp@ufms.br
PAP CHAP PAP WinXP CHAP PAP Win7 CHAP PAP Linux CHAP PAP Mac Leopard CHAP PAP Andr. CHAP PAP CHAP PAP WinXP CHAP PAP Win7 CHAP PAP Linux CHAP PAP Mac CHAP PAP Andr. CHAP PAP CHAP PAP WinXP CHAP PAP Win7 CHAP PAP Linux CHAP PAP Mac CHAP PAP Andr. CHAP
Tabela 3. Status atual dos testes de roaming realizados pela UFMS
UFF UFRJ UFMS
radtest teste@uff.br radtest teste@gta.ufrj.br radtest testernp@ufms.br
PAP CHAP PAP WinXP CHAP PAP Win7 CHAP PAP Linux CHAP PAP Mac iOS4+ CHAP PAP Andr. CHAP PAP CHAP PAP WinXP CHAP PAP Win7 CHAP PAP Linux CHAP PAP Mac iOS4+ CHAP PAP Andr. CHAP PAP CHAP PAP WinXP CHAP PAP Win7 CHAP PAP Linux CHAP PAP Mac iOS4+ CHAP PAP Andr. CHAP
Tabela 4. Status atual dos testes de roaming realizados pela UFRJ
UFF UFRJ UFMS
radtest teste@uff.br radtest teste@gta.ufrj.br radtest testernp@ufms.br
PAP CHAP PAP WinXP CHAP PAP Win7 CHAP PAP Linux CHAP PAP Mac iOS4+ CHAP PAP Andr. CHAP PAP CHAP PAP WinXP CHAP PAP Win7 CHAP PAP Linux CHAP PAP Mac iOS4+ CHAP PAP Andr. CHAP PAP CHAP PAP WinXP CHAP PAP Win7 CHAP PAP Linux CHAP PAP Mac iOS4+ CHAP PAP Andr. CHAP
Tabela 5. Legenda de cores das Tabelas 2, 3 e 4 Legenda
OK ---
Falhou ---
Para acesso com o método de autenticação PAP utilizando o Windows XP e Windows 7, é necessária a instalação de um suplicante de terceiros, como por exemplo SecureW2, Wire1X etc. Nos testes da realizados pela UFF com Windows 7, foi utilizado o SecureW2. No IPad e IPhone (iOS4+), também não há o suporte a PAP nativo. É necessária a instalação de um software adicional.
6. Conclusão
Este relatório apresentou o status atual de implantação do piloto eduroam-br na UFF, UFRJ e UFMS. Outras instituições foram convidadas recentemente a participar como voluntárias no projeto, são elas UFSC, UNICAMP e UFRGS. Espera-se que, em breve, todas estejam com sua infraestrutura de servidores e pontos de acesso operacional, ampliando a cobertura do serviço de roaming oferecido pelo eduroam-br em universidades brasileiras.
Pretende-se implementar a comunicação entre os servidores RADIUS de cada instituição e o servidor da federação de forma mais segura utilizando o protocolo RadSec. Pretende-se também realizar o registro de todas as requisições de autenticação em todos os servidores com o log em uma base de dados MySQL, oferecendo maior controle sobre os usuários do serviço.
Foi feito contato com parceiros eduroam na América Latina, mais especificamente com na instituição INICTEL no Peru, com o objetivo de integração do eduroam-br à comunidade internacional.
7. Referências
[1] eduroam cookbook - http://www.eduroam.org/downloads/docs/GN2-08-230-DJ5.1.5.3-eduroamCookbook.pdf [2] Guia do eduroam - https://confluence.terena.org/display/H2eduroam/How+to+deploy+eduroam+on-site+or+on+campus [3] FreeRADIUS e eduroam - https://wiki.aarnet.edu.au/download/attachments/32866308/glenturner-eduroam-freeradius.pdf?version=1
[4] Ubuntu Server Guide 10.10 -
https://help.ubuntu.com/10.10/serverguide/C/serverguide.pdf [5] SecureW2 - http://www.securew2.com/
[6] Xsupplicant do projeto Open1x - http://open1x.sourceforge.net/
[7] FreeRADIUS version 2 documentation, acessado em http://freeradius.org/, 2011.
[8] wiki UFMS – http://bibliotecaunix.ufms.br/index.php/FreeRadius [9] Documentação do Projeto Eduroam-br -
