Guia do eduroam CAT para administradores das instituições

eduroam CAT: função e âmbito

O eduroam CAT é uma ferramenta de configuração assistida eduroam. O seu propósito é dar suporte aos gestores dos hostspots eduroam, permitindo criar e personalizar instaladores automáticos para várias plataformas.

Essa personalização inclui o nome do IdP, localização geográfica, logótipo da instituição, contatos do helpdesk e definições de Radius que os utilizadores necessitam para se autenticar quando estão a utilizar a rede eduriam.

Estes instaladores podem ser gerados em vários idiomas, permitindo que possam ser disponibilizados no idioma nativo do utilizador e noutros. Além disso, o CAT pode ainda ajudar no despiste de problemas no servidor de Radius, através da análise do comportamento da configuração na infraestrutura eduroam.

Os instaladores gerados pelo CAT podem ser disponibilizados numa área de download específica ou, se for preferido, podem ficar disponíveis numa página da instituição a designar.

Caso as instituições suportem instaladores específicos (ex: se existir um instalador personalizado com capacidades específicas para um sistema ou para um grupo de utilizadores) podem optar por disponibilizar no CAT apenas um subconjunto das plataformas suportadas e redireccionar os utilizadores desse instalador específico para a  página de suporte da instituição.

O eduroam CAT suporta uma vasta lista de clientes de autenticação dos mais variados dispositivos. Em particular pode gerar instaladores para as seguintes plataformas:

• Microsoft Windows 8 e 8.1
• Microsoft Windows 7
• Microsoft Windows Vista
• Microsoft Windows XP (Service Pack 3)
• Mac OS X Mountain Lion
• Mac OS X Lion
• iPhone, iPad, iPod touch
• Várias distribuições Linux

Devido a especificidades próprias do Android, o CAT não tem suporte para este sistema operativo. O suporte da instituição deverá tratar da configuração destes dispositivos por outros meios, nomeadamente através da configuração manual dos mesmos.

O suporte para os sistemas operativos acima mencionados abrange a maioria dos métodos EAP. No entanto, nem todos os métodos EAP são suportados por todas as plataformas, sendo confiado esse suporte às capacidades do Sistema Operativo utilizado.

O eduroam CAT não pretende substituir o suporte das instituições aos seus utilizadores (helpdesk). É esperado que o CAT preste um serviço importante às instituições eduroam ao tratar da geração de instaladores para muitas das plataformas disponíveis, não sendo no entanto responsável por tratar dos pedidos de suporte dos utilizadores. Os instaladores do CAT funcionam nas plataformas indicadas, se estas não tiverem sido modificadas pelos utilizadores e espera-se que o processo de instalação seja intuitivo o suficiente.

A área destinada aos utilizadores pode ser vista na imagem abaixo ou testada directamente. Para isso aceda a https://cat.eduroam.org. Seleccione uma instituição, por exemplo a FCCN, em Portugal, para aceder à página de downloads dos instaladores dessa instituição.

Como adicionar a minha instituição ao eduroam CAT

Passo 1: Solicitar a entrada da sua instituição

O CAT usa o mesmo modelo organizacional que o eduroam: os administradores da federação nacional gerem os IdP's do seu país. Para gerir a sua instituição no CAT, deve comunicar aos respetivos administradores da federação a sua intenção de adesão ao mesmo.

Para realizar o pedido deve enviar uma mensagem para o endereço eduroam@fccn.pt com os seguintes dados:

• Nome da instituição
• Nome do requerente
• Email Institucional do requerente  

Após a avaliação do pedido por parte da FCCN, se a sua instituição for elegível para o serviço, será enviado um email com um token (esse token tem validade de 24 horas após o envio). Deve seguir o link que foi fornecido com o token, autenticar-se na interface de administração e começar a gerir a sua instituição - Veja na secção abaixo os detalhes de configuração da instituição e respetivos perfis.

Passo 2: Como entrar no eduroam CAT?

No site do CAT, após seleccionar a opção de menu "eduroam admin: gestor do seu IdP", será redirecionado para a página de autenticação, onde são apresentadas as seguintes opções:

• Login via eduGAIN: Lista de Fornecedores de Identidade de várias universidades Europeias, já ligadas ao serviço educational Global Authorisation INfrastructure - se a sua instituição está entre elas, clique no nome da sua instituição e autentique-se com as suas credenciais.
• Login Experimental: algumas instituições estão em processo de ligação ao eduGAIN, mas não são membros em estado de produção. Se for esse o caso da sua instituição é provável que a encontre nesta lista
• Login via Social Networks: Se não for possível autenticar-se com as credenciais da sua instituição (por exemplo, por esta ainda não participar no eduGAIN), tem a alternativa de usar a autenticação federada recorrendo a várias redes sociais, entre elas o Google e o Facebook.
  
  

Configurar as propriedades da minha instituição

Visão geral

O interface de administração apresenta as seguintes secções de informação:

• Configurações gerais do IdP (informação geral da instituição, detalhes do serviço de suporte  e informação dos servidores de radius da instituição);
• Testes de disponibilidade de um realm ou de servidores de radius da federação europeia; e
• Configuração de perfis disponíveis para os utilizadores.

 Para que possam proceder à criação de instaladores automáticos é obrigatório o registo prévio de informação na secção "Configuração gerais do IdP" nos seguintes grupos:

• informação geral sobre a instituição (logotipo, localização, nome)
• detalhes de contacto para suporte (mail, telefone, web) 
• detalhes associados ao RADIUS e EAP

A maioria da informação que é pedida é opcional. Se optar por omitir alguma informação os instaladores serão criados,no entanto, não vão conter toda a informação que deveriam. Recomenda-se que seja registado o máximo de informação possível.

Existem dois princípios que devem ser considerados aquando do registo e armazenamento de informação no  interface de administração:

1. Informação textual pode ser fornecida em vários idiomas, no entanto um desses idiomas dever ser marcado como o "por omissão", será esse esse texto que será apresentado aos utilizadores que usem um idioma não suportado.
2. Uma instituição é composta por um ou mais perfis EAP. Cada um deles pode ter configurações específicas EAP. Um caso típico são as instituições que suportam tipos de EAP distintos para contas de  "aluno" e "professor".  As várias opções disponíveis no CAT podem abranger toda a instituição ou um perfil especifico. Nos casos em que uma opção está activa ao nível da instituição e ao nível do perfil, a configuração do perfil sobrepõe-se e prevalece sobre a outra. 

Definições gerais das Instituições

No primeiro acesso ao CAT será apresentado um wizard que fornece informação detalhada sobre as configurações que podem ser realizadas. 

Para adicionar uma nova opção deve pressionar o botão correspondente, selecionar a opção pretendida e definir o seu valor. Podem testar as várias opções, a informação apenas será gravada após seleccionado o botão "Guardar informação".

Sempre que voltar a visitar a página de Edição da informação do IdP os textos explicativos vão estar condensados para que não ocupem demasiado espaço na interface. Apesar da informação estar reduzida, as alterações de configurações são simples e intuitivas.

Perfis

Os perfis são as configurações EAP específicas para um grupo de utilizadores e os instaladores são sempre gerados para perfis específicos. Se tiver apenas um grupo de utilizadores a distinção entre definições gerais da instituição e de perfil não tem qualquer diferença. De qualquer modo alguns IdP's têm grupos de utilizadores distintos que partilham algumas propriedades, mas não todas.

Um exemplo é quando os alunos têm autenticação por nome de utilizador/palavra passe, autenticando com PEAP e têm um contacto genérico de apoio e os funcionários da instituição têm certificados de cliente TLS com EAP-TLS e têm acesso a um apoio de mais alto nível, específico para eles.

O CAT torna simples a gestão de múltiplos perfis de grupos de utilizadores para cada instituição. As propriedades partilhadas, certificados de servidor ou contactos de suporte, podem ser definidos de forma transversal para a instituição (o que os torna disponíveis de imediato para todos os perfis) ou por perfil (a propriedade é apenas definida para esse perfil específico). Podem ainda ser definidas propriedades transversais à instituição e serem depois sobrepostos por propriedades específicas em perfis específicos.

No wizard apresentado no primeiro acesso, o CAT redireciona-o automaticamente para a criação de perfis, logo após o preenchimento dos dados gerais da Instituição.

Para criar um Perfil deve primeiro definir o seu nome e descrição, o que pode ser feito em vários idiomas.

Existe ainda uma propriedade muito importante: "Pronto para entrada em produção". Os instaladores gerados não vão ser disponibilizados na página de download até que esta opção esteja definida e activada. Esta medida destina-se a prevenir o download de instaladores com informação incompleta, enquanto estes estão a ser configurados no CAT.

O CAT também pede informação sobre os realms associados a esse perfil. Esta informação é opcional, mas é recomendado que a forneçam pois irá permitir que sejam feitos, posteriormente, testes exaustivos à instalação e configuração do servidor de Radius da Instituição. Devem consultar a secção "Verificar a minha configuração de RADIUS" para mais detalhes.

Pode ainda decidir se é pretendido que os instaladores gerados sejam configurado com uma identidade externa anónima e qual deverá ser essa identidade. Se quiser que os utilizadores desse perfil não tenham acesso a um instalador, pode ainda especificar que estes devem ser redireccionados para a sua página de suporte. Um caso típico para esta funcionalidade é se pretender gerar um instalador e disponibilizá-lo na página de suporte eduroam da sua instituição.

A terceira parte da geração do perfil é dedicada aos tipos de EAP que tem configurados no seu RADIUS para esse grupo de utilizadores. Usando um simples "drag&drop" deve arrastar para a área verde os tipos de EAP que são suportados na sua instituição. A lista é ordenada por preferência, por isso devem ser arrumados na ordem de preferência pretendida.

O CAT irá sempre comparar a lista de tipos de EAP definidos com o seu suporte nos vários dispositivos em que poderá ser configurado e usado. Se o dispositivo suportar esse método EAP, o instalador será sempre gerado para esse método.

Se o método EAP preferido não funcionar num dispositivo específico, a lista de preferências será percorrida até que seja encontrado um que seja suportado e depois o instalador para esse dispositivo irá usar esse tipo de EAP não tão preferido.

Por fim, e caso não exista uma correspondência entre os tipos de EAP definidos no CAT e os suportados pelo dispositivo, não será possível gerar o instalador para esse dispositivo. É recomendado que seja alterada a configuração do RADIUS para que suporte mais métodos EAP.

Após estes passos pode definir os detalhes do suporte (helpdesk) e dos certificado, caso não o tenha feito nas definições gerais da Instituição. Caso tenha já definido uma opção nas definições gerais, e se introduzir aqui algo diferente, as definições ao nível do perfil vão sobrepor-se às do nível da instituição.

Após este passo a configuração do CAT está terminada. O sistema irá proceder a verificações sobre as opções definidas e irá alertar para as que necessitarem de ser alteradas ou corrigidas, caso existam. São então direcionados para o dashboard da Instituição, de onde podem dar continuidade ao processo de configuração, aceder aos downloads, realizar verificações e muito mais.

Gerar os instaladores para os meus utilizadores

No dashboard da instituição será possível ver a informação mais relevante que foi introduzida.

Esta informação, e toda a configuração específica dos perfis, é usada para a criação dos instaladores. Para ter acesso aos instaladores deve clicar em "Instalador Ajustes e Download" no perfil pretendido.

Será direcionado para uma vista geral dos instaladores disponíveis. Esta é apresentada numa vista em matriz, com os métodos EAP definidos, os dispositivos que o CAT tem informação e se o instalador está ou não disponível para todas as combinações possíveis.

• Uma entrada VERDE na matriz significa que o instalador está pronto para ser usado e existe um botão para download nesses campos.
• Uma entrada AZUL na matriz significa que não foi possível criar um instalador para essa combinação, mas que existe um método EAP com maior preferência que pode ser usado. Foi criado um instalador para esse método de maior preferência. 
• Uma entrada VERMELHA na matriz significa que o CAT não tem informação sobre como configurar esse método EAP para esse dispositivo.
• Uma entrada CINZENTA na matriz significa que não fornecida toda a informação necessária para o CAT produzir o instalador. É necessários voltar à edição do perfil ou da instituição e preencher os dados em falta.
• Uma entrada BRANCA na matriz significa que foi definida uma excepção e que o CAT não irá oferecer esta combinação aos utilizadores, mesmo que em teoria possa haver um instalador (o parágrafo abaixo explica esta situação).

Se tiver alguma informação que pretenda transmitir aos utilizadores, tal como quais as credenciais a usar, onde obter um certificado necessário ou algum equipamento específico que não seja suportado, pode fazê-lo.

Essas alterações podem ser feitas com recurso a algumas opções disponíveis na página de afinação dos instaladores. Pode adicionar texto livre para cada um dos tipos EAP ou para dispositivos específicos. Este texto será mostrado na página de download, antes deste ser iniciado.

Para os dispositivos pode definir um redireccionamento. Caso este esteja definido, o CAT não irá disponibilizar um botão de download mas irá redireccionar o utilizador para a página indicada. Isto poderá ser útil em casos quem exista um instalador costumizado ou comercial para um dos dispositivos e não pretende usar o CAT. Se esta opção estiver activa, a cor de fundo dessa célula da matriz será branca.

É agora possível usar o botão de download e testar o instalador para ver se este funciona da forma pretendida. Esta opção é também possível ser usada mesmo em caso de redireccionamentos. Mesmo que não disponibilize o CAT para um dispositivo, pode querer descarregá-lo para posterior disponibilização na página da Instituição.

Visibilidade do instalador na página de download

O administrador de uma instituição tem o controlo total sobre quais, quando e como são apresentados os instaladores na página de download do CAT. As opções disponíveis são as seguintes:

• Tornar o perfil EAP visível, mas redireccionar os utilizadores para a sua própria página de suporte. A entrada é apresentada mas não é disponibilizado o download na página. Isto pode ser definido nas opções de Perfil - ver imagem abaixo.
  
• Tornar o perfil EAP visível com instaladores, mas encaminhar os utilizadores de determinados dispositivos para uma página específica. Devem ser usadas as configurações específicas da matriz de download para os dispositivos em causa - ver secção anterior.
• Tornar todos os instaladores visíveis.

As três opções requerem confirmação de que todos os elementos necessários foram colocados e revistos antes de colocar um perfil pronto para produção. Nenhum detalhe do perfil será colocado visível até que declare que a informação está pronta para produção. Esta activação é feita através da adição do campo respetivo nas propriedades do Perfil.

O estado da publicação de um perfil EAP é feito através da apresentação um ícone de estado, verde (publicado) ou amarelo (não publicado), na informação do Perfil (ver imagem). Caso o ícone esteja amarelo pode aceder a informação adicional sobre a causa, com a colocação do rato por cima deste.

Verificar a configuração de RADIUS

Se forneceu ao CAT um realm que está em uso no eduroam, existe um serviço extra que pode ser usado. O CAT pode enviar pedidos de autenticação pela infraestrutura eduroam e verificar se o seu RADIUS está acessível e se passa em várias verificações. Todos estes testes são iniciados com o clicar do botão "Verificar disponibilidade do realm".

Estes testes demoram apenas alguns segundos e permitem fornecer uma visão pormenorizada da forma com o seu Radius está na estrutura eduroam. Estes teste incluem:

• Uma verificação de DNS para confirmar que o seu domínio tem publicados os registos NAPTR para a Dynamic Discovery na rede eduroam e caso os tenha, se os registos de DNS estão correctos
   
• Os resultados dos testes de autenticação que foram feitos. Não existirá autenticação pois não existem credenciais a em uso, mas mesmo com uma falha neste processo é possível obter muita informação sobre o servidor remoto. A página mostrará se foram descobertos alguns pontos que necessitam de atenção:
  • Tempos de autenticação superiores a 5 segundos são considerados erros
  • O servidor deverá ter a capacidade de enviar e receber fragmentos UDP. Algumas firewalls barram estes fragmentos.
  • Existe um número de atributos RADIUS que estão normalmente presentes nos pedidos de autenticação. Alguns servidores não tratam bem esses atributos.

• Se as verificações de DNS foram bem sucedidas, o CAT irá usar os servidores descobertos por Dynamic Discovery e tentar ligar-se a eles. Irá apresentar um conjunto de certificados válidos e inválidos para verificar se o servidor tem o comportamento esperado.
   
• É possível usar credenciais válidas, e de curta duração, para dar ao CAT a capacidade de fazer testes reais de autenticação e que vão produzir ainda mais informação de diagnostico.