Transcript Linköpings kommun – Erfarenheter införande av

Leanlink
Ao LKDATA
Framtagen av
Sida
Johan Rydh
1 (5)
Datum
2014-03-31
Erfarenheter av införande av Eduroam
Linköpings kommun
Innehåll
1
2
3
4
4.1
4.2
4.3
4.4
4.5
4.6
4.7
5
6
Inledning ................................................................................................................... 2
Bakgrund .................................................................................................................. 2
Summering ............................................................................................................... 2
Teknisk struktur ...................................................................................................... 3
Konto och Radius .................................................................................................... 3
Konto underhåll ....................................................................................................... 3
Trådlöst nätverk ....................................................................................................... 3
Loggning ................................................................................................................. 3
Stödinformation ....................................................................................................... 3
Pilotverksamhet ....................................................................................................... 3
Trimning och justering ............................................................................................ 4
Referenser ................................................................................................................. 4
Revisioner ................................................................................................................. 5
Dokumentnamn:\\adm.linkoping.se\info\Leanlink\LKDATA\PoU\Projekt\Radiolan\Eduroam\Linköpings kommun Erfarenheter införande av eduroam.docx
Utfärdat datum: 2014-03-31
Reviderat datum: 2014-03-31
Rev
1.0.0
2
1 Inledning
I detta dokument beskrivs Linköpings kommun erfarenheter kring det tekniska
införandet av eduroam i kommunens IT-infrastruktur. Dokumentationen beskriver resan
från start till pilotgenomförande.
2 Bakgrund
I början på 2012 kontaktades Linköping kommun av Linköpings universitet (LiU)
eftersom de undrade om det fanns möjlighet/intresse från kommunens sida att införa
eduroam på bland annat stadsbibliotek eftersom många studenter ofta befinner sig där.
Denna förfrågan genererade i att Linköpings kommun beslutade att skriva en utredande
rapport om det var möjligt rent tekniskt att sätta upp i kommunen. Vissa särskilda
omständigheter gjorde att det vid den tidpunkten inte var möjligt att inför eduroam
direkt. Detta föranledde hursomhelst att utbildningskontoret fick kännedom om
eduroam och fattade ett intresse. Ett intresse som sedermera ledde till att det beslutades
att eduroam skulle införas på utbildnings verksamheter.
Vi var på gång att starta upp med eduroam hösten 2013 utifrån kontakt med Linköpings
universitet (LiU) under våren. Då skolfederation kom in i bilden så valde vi att hoppa på
det tåget.
3 Summering
Av naturliga skäl har en hel del inspiration hämtats från LiU. Vi läste allt tillgängligt
material om eduroam på LiUs hemsida samt information från andra källor runt
eduroam. Tex kommer den ursprungliga idén runt hur vi skulle hantera eduroamkonton
från LiUs instruktioner.
Vi tittade på olika lösningar av för Radius. Två huvudprinciper bedömdes, att lagra
eduroam lösenord i befintligt Active Directory (AD) och med lämplig Radius
programvara använda detta eller sätta upp ett separat AD med eduroam konton kopplad
till NPS. Vi valde till det senare alternativet, eftersom det byggde på befintlig teknik
som vi redan hade erfarenhet av och licensiering för.
Vi utvecklade ett enkelt självadministrationsformulär för att elever/skolpersonal skulle
kunna hämta ut nya lösenord till Eduroam. Stödinformation har tagits fram till
elever/skolpersonal som publicerats på kommunens hemsida. Även guider och tips för
konfiguration av dator/mobil/pekplatta har tagits fram.
En kapacitetsbedömning har gjorts på det trådlösa nätet, i vilken vi konstaterade att de
flesta som kommer använda eduroam sedan tidigare använder vårt gästnät. Den lilla
ökning som förväntas av studenter från LiU bedömdes vara hanterbar.
Vi valde att genomföra en pilot på två skolor (en grundskola och en gymnasieskola),
främst i syfte att kontrollera att rutiner och instruktioner hänger ihop och fungerar på ett
smidigt sätt, inför ett fullskaligt införande. Piloten har fungerat smidigt och inte belastat
vår kundservice som normalt tar emot tekniska frågor från verksamheten.
Nästa steg kommer vara att gå över i full produktion.
3
4 Teknisk struktur
4.1 Konto och Radius
Den tekniska lösningen bygger på vår befintliga teknisk miljö, och det befintliga
trådlösa nätet. Vi har använt två virtuella servrar Windows 2012 server med ett eget AD
och Network Policy Server (NPS) för Radius. Det är två serverar för att få redundans,
både för 24/7 drift vid ev fel men även för att kunna hantera service på en i taget under
dagtid utan att störa produktionen. Vi hade sedan innan NPS för certifikatsinloggning i
vårt trådlösa nätverk. Så med de erfarenheterna så var det relativt enkelt att konfigurera
NPS för eduroam.
4.2 Konto underhåll
Kontounderhållet är helt självadministrerat av elever/skolpersonal via ett webbaserat
självadministrationsformulär. Självadministrationsformulär är utvecklat i vår befintliga
supportwebb på Internet. Där kan elever/skolpersonal hämta ut nya lösenord till
eduroam. Vi kommer ha ett nattligt script som tar bort eduroam konton när de avslutas i
vanliga AD eller när skolpersonal byter till att inte längre vara skolpersonal.
Formuläret nås via användarens vanliga användarnamn/lösenord till det vanliga AD. Vi
har satt upp regler emot vårt vanliga AD så att endast elever/skolpersonal kan hämta ut
nya eduroam lösenord. Övrig kommunal personal kan inte hämta lösenord till eduroam.
Vi ville separera eduroam lösenordet från det vanliga lösenordet, där av separat AD.
Utöver förbättrad säkerhet, underlättare det för användarna, då skolpersonal måste byta
lösenord var 90 dag i vanliga AD.
Kommunen använder ett kortnamn som kontonamn i AD för så väl elever som personal.
Samma kontonamn (6 tecknen för personal och 9 för elever) används för eduroam med
tillägget @linkoping.se. Kortnamn blir ingen personuppgift för tredje part och avslöjar
inte vem som loggat in hos dem i eduroam.
4.3 Trådlöst nätverk
Vi använder sedan innan Cisco för trådlöst nätverk. I det trådlösa nätverket har vi nu
lagt till SSID för eduroam. Eduroam har fått en egen IP-plan, från vilken vi tilldelar
”svart”-näts adresser, som NAT-översätts i brandväggen till publik adress ut mot
Internet.
4.4 Loggning
Genom att använda samma produkt val har vi bedömt att det även kommer underlätta
eventuell ”abuse” hantering. Loggning av användning sker via befintlig brandvägg på
samma sätt som för övriga i kommunen. Loggen från NPS ger oss tidpunkt, konto, IPadress, MAC-adress mm.
4.5 Stödinformation
Stödinformation har tagits fram till användarna som publicerats på kommunens
hemsida. Vi har också tagit fram guide och tips för konfiguration av iOS, Android och
Windows 7, vilka vi bedömt kommer vara de vanligaste klienterna.
4.6 Pilotverksamhet
Två skolor och den centrala skoladministrationen har deltagit i piloten som fortvarande
pågår. Det är en grundskola Ånestadsskolan samt en gymnasieskola Birgitta skolan i
Linköping.
4
Vi har haft en kontaktperson på resp plats som ansvarat för den lokala kontakten samt
sprida information till eduroam-piloterna.
Piloterna har i övrigt endast fått stödet via informationen på hemsidan, för att vi ska få
återkoppling på hur det kommer fungera när vi skalar upp i full drift. Vi har under
piloten också haft ett separat supportformulär för frågor och synpunkter.
Piloten har nu pågått i två veckor och vi har fått in ca 60talet personal och 40talet
elever. Vi hade önskat fått in flera elever, men informationsspridning på skolorna tycks
ha gått trögt.
Det har varit väldigt lite frågor från kontaktpersonerna och ingen supportärenden alls
via vår kundservice eller vårt supportformulär. Veckoavstämningarna med
kontaktpersonerna har samstämmigt pekat på att det fungerat bra och endast enstaka
frågor lokalt. Funktionen har varit stabil för de som kommit igång att använda eduroam.
Vår loggining i Cisco-utrustningen pekar också på att allt fungera bra.
För den centrala skoladministrationen som sitter mitt i Linköpings centrum, ser vi att vi
haft flera besökare som loggas in via eduroam än personal för den egna verksamheten.
Så här långt verkar det vara mest ”pocket roaming” då kapacitets användning varit låg.
4.7 Trimning och justering
Vi har lagt en del tid på att trimma funktioner, rutiner och instruktioner under resans
gång. Även tester ihop med representant för skolfederation för att validera olika
funktioner samt simulera olika användningsfall har tagit en del tid.
Det har dock varit få avvikelser emot det planerade upplägget.
5 Referenser
Användbara länkar vi använt vid införandet av eduroam.
Hantering av konton vid LiU.
http://www.liu.se/insidan/it/natverk/tradlost-nat/om-eduroam?l=sv
Radius konfiguration
http://iso.csusb.edu/practices/eduroam-radius-configuration
Eduroam och Skolfederation forum
http://skolfed.forum24.se/
Kortfattad sammanfattning av inställningar för Eduroam från LiU
http://www.liu.se/insidan/it/natverk/tradlost-nat/korta-installningar?l=sv
FAQ från LiU
http://www.liu.se/insidan/it/natverk/tradlost-nat/faq?l=sv
How to deploy eduroam on-site or on campus
https://confluence.terena.org/display/H2eduroam/How+to+deploy+eduroam+onsite+or+on+campus
5
6 Revisioner
Revision:
0.1.0
0.2.0
1.0.0
Datum:
2014-03-27
2014-03-30
2014-03-31
Beskrivning:
Skapad
Komplettering
Slutjustering
Utförd av:
Johan Rydh
Michael Lööw
Michael Lööw