Child pages
  • CAT - eduroam Configuration Assistant Tool

Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Essa personalização inclui o nome do IdP, localização geográfica e , logótipo da instituição, contatos do helpdesk e definições de Radius que os utilizadores necessitam para se autenticar quando estão em roaminga utilizar a rede eduriam.

Estes instaladores podem ser gerados em vários idiomas, permitindo que possam ser disponibilizados no idioma nativo do utilizador e noutros. Além disso, o CAT pode ainda ajudar no despiste de problemas no servidor de Radius, através da comparação dos dados inseridos com o análise do comportamento da configuração na infraestrutura eduroam.

Os instaladores gerados pelo CAT podem ser disponibilizados numa área de download específica ou, se preferirfor preferido, podem ficar disponíveis na ficar disponíveis numa página da instituição a designar.

Caso as instituições suportem instaladores específicos (ex: se existir um instalador personalizado com capacidades específicas para um sistema ou para um grupo de utilizadores) podem optar por disponibilizar apenas disponibilizar no CAT apenas um subconjunto das plataformas suportadas pelo CAT e redireccionar os utilizadores desse instalador específico para a  página de suporte da instituição relativamente às restantes plataformas.

O eduroam CAT suporta uma vasta lista de clientes de autenticação dos mais variados dispositivos. Em particular pode gerar instaladores para as seguintes plataformas:

  • Microsoft Windows 8 e 8.1
  • Microsoft Windows 7
  • Microsoft Windows Vista
  • Microsoft Windows XP (Service Pack 3)
  • Mac OS X Mountain Lion
  • Mac OS X Lion
  • iPhone, iPad, iPod touch
  • Várias distribuições Linux

Infelizmente não existe suporte para AndroidDevido a especificidades próprias do Android, o CAT não tem suporte para este sistema operativo. O suporte da instituição deverá tratar da configuração destes dispositivos por outros meios, nomeadamente através da configuração manual dos mesmos.

O suporte para os dispositivos sistemas operativos acima mencionados abrange a maioria dos métodos EAP. No entanto, nem todos os métodos EAP são suportados por todas as plataformas, sendo confiado esse suporte às capacidades dos do Sistema Operativo utilizado.

O eduroam CAT não pretende substituir o suporte das instituições aos seus utilizadores (helpdesk)! . É esperado que o CAT preste um serviço importante às instituições eduroam ao tratar da geração de instaladores para muitas das plataformas disponíveis, não sendo no entanto responsável por tratar dos pedidos de suporte dos utilizadores. Os instaladores do CAT funcionam nas plataformas indicadas, se estas não tiverem sido modificadas pelos utilizadores e espera-se que o processo de instalação seja intuitivo o suficiente.

...

Passo 1: Solicitar a entrada da sua instituição

O eduroam CAT usa o mesmo modelo organizacional que o eduroam: os administradores da federação nacional gerem os IdP's do seu país. Para gerir a sua instituição com o no CAT, deve comunicar aos respetivos administradores da federação a sua intenção de adesão ao CATmesmo.

Para realizar o pedido deve enviar uma mensagem para o endereço eduroam@fccn.pt com os seguintes dados:

...

Passo 2: Como entrar no eduroam CAT?

No site do CAT, após seleccionar a opção de menu "eduroam admin: gestor do seu IdP", será redirecionado para a página de suporte à autenticação, onde são apresentadas as seguintes opções:

  • Login via eduGAIN: Listagem Lista de Fornecedores de Identidade de várias universidades da Europa Europeias, já ligadas ao serviço educational Global Authorisation INfrastructure - se a sua instituição está entre elas, clique no nome da sua instituição e autentique-se com as suas credenciais.
  • Login Experimental: algumas instituições estão em processo de ligação ao eduGAIN, mas não são membros em estado de produção. Se for esse o caso da sua instituição é provável que a encontre nesta lista
  • Login via Social Networks: Se não for possível autenticar-se com as credenciais da sua instituição (por exemplo, por esta ainda não participar no eduGAIN), tem a alternativa de usar a autenticação federada recorrendo a várias redes sociais, entre elas o Google e o Facebook.

...

  1. Informação textual pode ser fornecida em vários idiomas, no entanto um desses idiomas dever ser marcado como o "por omissão", será esse esse texto que será apresentado aos utilizadores que usem um idioma não suportado.
  2. Uma instituição é composta por um ou mais perfis EAP. Cada um deles pode ter configurações específicas EAP. Um caso típico são as instituições que suportam tipos de EAP distintos para contas de  "aluno" e "professor".  As várias opções disponíveis no CAT podem abranger toda a instituição ou um perfil especifico. Nos casos em que uma opção está activa ao nível da instituição e ao nível do perfil, a configuração do perfil sobrepõe-se e prevalece sobre a outra

Definições gerais das Instituições

No primeiro acesso ao CAT será apresentado um wizard que fornece informação detalhada sobre as configurações que podem realizarser realizadas

Para adicionar uma nova opção deve pressionar o botão correspondente, selecionar a opção pretendida e definir o seu valor. Podem testar as várias opções, a informação apenas será gravada após seleccionado o botão "Guardar informação".


Sempre que voltar a visitar a página de Edição da informação do IdP os textos explicativos vão estar condensados para que não ocupem demasiado espaço na interface. Apesar de a da informação estar reduzida, as alterações de configurações são simples e intuitivas.

...

Um exemplo é quando os alunos têm autenticação por nome de utilizador/palavra passe, autenticando com PEAP e têm um contacto genérico de apoio e os funcionários da instituição têm certificados de cliente TLS com EAP-TLS e têm acesso a um apoio de mais alto nível, específico para eles.

O eduroam CAT torna simples gerir a gestão de múltiplos perfis de grupos de utilizadores para cada instituição. As propriedades partilhadas, certificados de servidor ou contactos de suporte, podem ser definidos de forma transversal para a instituição (o que os torna disponíveis de imediato para todos os perfis) ou por perfil (a propriedade é apenas definida para esse perfil específico). Podem ainda ser definidas propriedades transversais à instituição e serem depois sobrepostos por propriedades específicas em perfis específicos.

No wizard apresentado no primeiro acesso, o CAT redireciona-o automaticamente para a criação de perfis, logo após o preenchimento dos dados gerais da Instituição.

Para criar um Perfil deve primeiro definir o seu nome e descrição, o que pode ser feito em vários idiomas.

Existe ainda uma propriedade muito importante: "Pronto para entrada em produção". Os instaladores gerados não vão ser disponibilizados na página de download até que esta opção esteja definida e activada. Esta medida destina-se a prevenir o download de instaladores com informação incompleta, enquanto estes estão a ser configurados no CAT.


O CAT também pede informação sobre os realms associados a esse perfil. Esta informação é opcional, mas é recomendado que a forneçam pois irá permitir que sejam feitos, posteriormente, testes exaustivos à instalação e configuração do servidor de Radius da Instituição. Veja por favor Devem consultar a secção "Verificar a minha configuração de RADIUS" para mais detalhes.

Pode ainda decidir se é pretendido que os instaladores gerados seja sejam configurado com uma identidade externa anónima e qual deverá ser essa identidade. Se quiser que os utilizadores desse perfil não tenham acesso a um instalador, pode ainda especificar que estes devem ser redireccionados para a sua página de suporte. Um caso típico para esta funcionalidade é se pretender gerar um instalador e disponibilizá-lo na página de suporte eduroam da sua instituição.


A terceira parte da geração do perfil é dedicada aos tipos de EAP que tem configurados no seu RADIUS para esse grupo de utilizadores. Usando um simples "drag&drop" arraste deve arrastar para a área verde os tipos de EAP que são suportados na sua instituição. A lista é ordenada por preferência, por isso arraste-os para que fiquemd e acordo com a devem ser arrumados na ordem de preferência pretendida.

...


Após estes passos pode definir os detalhes do suporte (helpdesk) e dos certificado, caso não o tenha feito nas definições gerais da Instituição. Caso tenha já definido uma opção nas definições gerais, e se introduzir aqui algo diferente, então as definições ao nível do perfil vão sobrepor-se às do nível da instituição.


Após este passo a configuração do CAT está terminada. O CAT sistema irá proceder a verificações sobre as opções definidas e irá alertar para as que necessitarem de ser alteradas ou corrigidas, caso existam. São então direcionados para o dashboard da Instituição, de onde podem dar continuidade ao processo de configuração, aceder aos downloads, realizar verificações e muito mais..

Gerar os instaladores para os meus utilizadores

No dashboard da instituição será possível ver a informação mais relevante que foi introduzida.

Esta informação, e toda a configuração específica dos perfis, é usada para serem criados os a criação dos instaladores. Para ter acesso aos instaladores deve clicar em "Instalador Ajustes e Download" no perfil pretendido.

...

  • Uma entrada VERDE na matriz significa que o instalador está pronto para ser usado e existe um botão para download nesses campos.
  • Uma entrada AZUL na matriz significa que não foi possível criar um instalador para essa combinação, mas que existe um método EAP com maior preferência que pode ser usado. Foi criado um instalador para esse método de maior preferência
  • Uma entrada VERMELHA na matriz significa que o CAT não tem informação sobre como configurar esse método EAP para esse dispositivo.
  • Uma entrada CINZENTA na matriz significa que não fornecida toda a informação necessária para o CAT produzir o instalador. É necessários voltar à edição do perfil ou da instituição e preencher os dados em falta.
  • Uma entrada BRANCA na matriz significa que foi definida uma excepção e que os o CAT não irá oferecer esta combinação aos utilizadores, mesmo que em teoria possa haver um instalador (o paragrafo parágrafo abaixo explica esta situação).

...

Essas alterações podem ser feitas com recurso a algumas opções disponíveis na página de afinação dos instaladores. Pode adicionar texto livre para cada um dos tipos EAP ou para dispositivos específicos. Este texto será mostrado na página de download, antes deste ser iniciado.

Para os dispositivos pode definir um redireccionamento. Caso este esteja definido, o CAT não irá disponibilizar um botão de download mas irá redireccionar o utilizador para a página indicada. Isto poderá ser útil em casos quem existam exista um instalador costumizado ou comercial para um dos dispositivos e não se pretende usar o CAT. Se esta opção estiver activa, a cor de fundo dessa célula da matriz será branca.

...

É agora possível usar o botão de download e testar o instalador para ver se este funciona da forma pretendida. Esta opção é também possível de ser usada mesmo em caso de redireccionamentos. Mesmo que não disponibilize o CAT para um dispositivo, pode querer descarregá-lo para posterior disponibilização na página da Instituição.

...

As três opções requerem confirmação de que todos os elementos necessários foram colocados e revistos antes de colocar um perfil pronto para produção. Nenhum detalhe do perfil será colocado visível até que declare que a informação está pronta para produção. Esta activação é feita através da adição do campo respetivo nas propriedades do Perfil.

O estado da publicação de um perfil EAP é feito através da apresentação um ícone de estado, verde (publicado) ou amarelo (não publicado), na informação do Perfil (ver imagem). Caso o ícone esteja amarelo pode aceder a informação adicional sobre a causa, com a colocação do rato por cima deste.

Verificar a

...

configuração de RADIUS

Se forneceu ao CAT um realm que está em uso no eduroam, então existe uma um serviço extra que pode ser usado. O CAT pode enviar pedidos de autenticação pela infraestrutura eduroam e verificar se o seu RADIUS está acessível e se passa em várias verificações. Todos estes testes são iniciados com o clicar do botão "Verificar disponibilidade do realm".

Estes testes demoram apenas alguns segundos e vão permitem fornecer uma visão pormenorizada da forma com o seu Radius está na na estrutura eduroam. Estes teste incluem:

  • Uma verificação de DNS para confirmar que o seu domínio tem publicados os registos NAPTR para a Descoberta Dinâmica na Dynamic Discovery na rede eduroam e caso os tenha, se os registos de DNS estão correctos
     
  • Os resultados dos testes de autenticação que foram feitos. Não existirá autenticação pois não existem credenciais a em uso, mas mesmo com uma falha neste processo é possível obter muita informação sobre o servidor remoto. A página mostrará se foram descobertos alguns pontos que necessitam de atenção:
    • Tempos de autenticação superiores a 5 segundos são estranhosconsiderados erros
    • O servidor deverá ter a capacidade de enviar e receber fragmentos UDP. Algumas firewalls barram estes fragmentos.
    • Existe um número de atributos RADIUS que estão normalmente presentes nos pedidos de autenticação. Alguns servidores não tratam bem esses atributos.

...