Dr Józef Oleszkiewicz Kier. Sekcji Usług Sieciowo-Serwerowych Z-ca Kier. Działu Technologii Informacyjnej
Liczba pracowników ogółem: 6947 Liczba nauczycieli akademickich: 3723 Liczba studentów ogółem: 51601 Ilość lokalizacji na terenie Krakowa ponad 100 Ilość kampusów - około 4-5
Zastosowano rozwiązanie korporacyjne - IEEE 802.1X w połączeniu z protokołem EAP (Extensible Authentication Protocol) Serwerem AAA(authentication, authorization, accounting) jest serwer LDAP z pakietu JES v 6.3 firmy SUN/Oracle (zainstalowane na serwerze SUN SPARC/Solaris) Serwer LDAP kontroluje dostęp do szereg usług sieciowych: e-mail VPN-SSL USOSWEB Portal WWW WiFi LEX (SSO)... Klienci na różnych platformach (PC, PDA, smartfony ) Elementy Infrastruktury WiFi pracują w sieciach zbudowanych z urzadzeń aktywnych różnych producentów brak uzależniania od firmowych rozwiązań
System składa się z: układu kontrolerów sieci bezprzewodowej z kontrolerem centralnym kontaktujących się z centralnym LDAPem UJ-tu Szeregu punktów dostępowych sterowanych przez kontrolery. Zastosowane punkty dostępowe umożliwią dostęp do Internetu z przepustowościami do 54 Mb/s (standardy IEEE 802.11abg) Uzupełnieniem jest dodatkowy serwer z Steel-Belted RADIUS Enterprise Edition, którego celem jest: obsługa punktów dostępowych trzech firm bez kontrolerów centralnych ale z obsługą tylko protokołu RADIUS( bez wsparcia LDAP-u) tłumaczeniu zapytań RADIUS na zapytania do serwera LDAP.
System składa się w tej chwili z dwóch podsystemów: UJ: 9 kontrolerów Alcatel OAW ( modele : 800, 2400, 3400) około 177 punktów dostępowych Alcatel OAW ( modele AP65, AP80, AP105) około 25 punktów dostępowych Proxim ORINOCO AP 4000 (zlokalizowanych w budynku Audytorium Maximum) w ciągu kolejnych trzech lat przybędzie około 150-200 AP i minimum 6 kontrolerów sieci WiFi
Collegium Medicum UJ: 7 kontrolerów Aruba Networks ( modele 200, 650, 3200) około 75 punktów dostępowych Aruba (modele AP93, AP60, AP61, AP85) Kontrolery WiFi Alcatela są to OEM produktów Aruba Networks
Kontrolery WiFi stosowane przez UJ mają miedzy innymi: wbudowane systemy firewala wbudowane systemyids Stosowane punkty dostępowe mają dual-radio jednoczesna praca w dwóch zakresach: 2.400-2.4835GHz 5.150-5.875GHz
Nazwa sieci : SSID Standard Szyfrowanie transmisji Metoda uwierzytelnienia Typ użytkownika UJ WPA WPA2 TKIP AES EAP-GTC/PEAP Pracownik UJ UJ-edu WPA WPA2 TKIP AES EAP-GTC/PEAP Student UJ UJ_1 WPA WPA2 TKIP AES EAP-TTLS/PAP Pracownik UJ UJ-edu_1 WPA WPA2 TKIP AES EAP-TTLS/PAP Student UJ
WiFi Allience ceryfikuje: EAP-TLS (Transport Layer security) EAP-TTLS/MSCHAPv2 (Tunneled Transport Layer security) EAP-PEAPv0/EAP-MSCHAPv2 EAP-PEAPv1/EAP-GTC EAP-SIM (EAP dla GSM z użyciem Subscriber Identity Module SIM) EAP-FAST (Flexible Authencication via Secure Tunneling) zastąpienie EAP- LEAP EAP-AKA (EAP for UMTS Authentication and Key Agreement z użyciem Universal Subscriber Module USIM) UMTS, CDMA2000
PEAPv0/EAP-MSCHAPv2 PEAPv1/EAP-GTC PEAPv0 i PEAPv1 odnoszą się do zewnętrznej metody autoryzacji dla utworzenia bezpiecznego tunelu TLS w celu ochrony kolejnych procesów uwierzytelnienia EAP-MSCHAPv2, EAP-GTC, and EAP-SIM odnoszą się do wewnętrznych metod uwierzytelnień w uwierzytelnienia użytkownika lub urządzenia.
Zewnętrzna metoda Wewnętrzna metoda PEAPv0 (PEAP Microsoft) CISCO EAP-MSCHAPv2 EAP-SIM Microsoft EAP-MSCHAPv2 PEAPv1 EAP-GTC EAP-SIM Brak! Microsoft używa nazwy PEAP zamiast PEAPv0, gdyż nie obsługuje PEAPv1. Obsługa PEAP jest wbudowana w produkty MS Windows. Microsoft obsługuje dodatkowo PEAP-EAP-TLS protokuł jako modyfikację PEAPv0, który prawie żaden inny producent nie obsługuje. Jest to protokół podobny do EAP-TLS z tą różnicą że szyfruje dodatkowo frgm informacji (certyfikaty) które są nie normalnie szyfrowane w EAP-TLS. Używane są client-side certyfikaty lub smarcad.
Dodatkowo w sieci WiFi istnieje jeszcze sieć "UJ_OPEN : Brak szyfrowania Filtrowane kanały -ograniczenia pracy w Internecie Mogą korzystać tylko pracownicy, doktoranci i studenci UJ Logowanie się poprzez dedykowana stronę WWW ( captive portal)
Zalecane oprogramowanie klienckie na urządzeniach klienckich: Drivery i oprogramowanie kart dedykowane od producenta dla danego urządzenia (np. oprogramowanie firm DELL, HP, IBM itp.) często opcjonalnie instalowana. Urządzenia firmy Apple zainstalowana w systemie obsługa GTC/PEAP W innych przypadkach konieczność instalacji dodatkowego oprogramowania: komerycyjnego : np. Juniper OAC, Juniper Pulse, SecureW2, itd darmowych : np. starsze wersje (darmowe) SecureW2
Niekompletny system operacyjny np. nie dońva zainstalowny pełny system operacyjny MS Win Niekompletne drivery, Niewłaściwy sprzęt np. karty WiFi egzotyczne w komputerach PC Nieważne certyfikaty serwerów ( w tym firmowych np. Aruba Networks) Błędy w systemach operacyjnych ( np. IOS 6.00, Android 4.00, ).