【高校专项】高校eduroam全球漫游服务的部署安装教程

1 什么是eduroameduroam是education roaming的缩写，是一种安全的全球漫游服务，为各个国家的教育科研网广泛采用。eduroam最早起源于欧洲，目前覆盖了89个国家和地区。对

1.什么是eduroam

eduroam是education roaming的缩写，是一种安全的全球漫游服务，为各个国家的教育科研网广泛采用。eduroam最早起源于欧洲，目前覆盖了89个国家和地区。对于学生、教师和科研人员来讲，如果所在学校/单位已经加入eduroam，那么他们可以非常容易地在其他支持eduroam的学校/单位使用Internet，不受国界限制。所使用的网络身份为其所在学校/单位的网络身份。

2.eduroam的基本概念

Eduroam
Eduroam是一种联盟形式的漫游服务，通过将用户身份提交给他所属IdP来进行验证，完成安全的网络访问。
Eduroam身份提供者Eduroam Identity Provider(eduroam IdP):
生成、管理用户身份，运行认证服务器。有些地区也称它为“身份所在学校”（Home Institutions）。比如，一位北京大学的学生，他的身份权威机构是北京大学。他在北京大学获得这个网络上可以使用的身份，身份有效性和可使用范围由北京大学来管理。
Eduroam服务提供者eduroam Service Provider(eduroam SP):
运行可支持eduroam用户访问的接入网络，一旦用户在他们自己的IdP认证通过，即可以通过SP接入Internet。有些地区也称它为“被访学校”（Visited Institutions）。
漫游运营商Roaming Operator(RO):
RO为某个国家或者学校运行eduroam服务，他所属的RC认可他的运行。如果该RO所在的地理上的地区没有建立RC，他直属于GeGC。RO可以是国家教育科研网的运行者。
RADIUS代理服务器RADIUS Proxy Server(RPS):
建立和维护RPS是提供全球eduroam服务的技术基础，RPS构成了RADIUS服务器的层次关系。某个地理上地区的顶级RPS由相应的RC运行。如果那个地区没有RC，GeGC综合那个地区RO的意见，指定一个RO来运行。
漫游联合Roaming Confederation(RC):
RC由RO组成，按照地理位置区分。一个典型样例是“欧洲eduroam联合”。
用户网络身份:
在eduroam架构中，用户身份的格式为“uid@realm”，其中“uid”为他在eduroam IdP申请获得的本地网络身份，“realm”为该eduroam IdP的域名。

3.eduroam技术架构

Eduroam的技术基础是802.1X标准和层次化的RADIUS代理服务器。它允许来自于某个eduroam机构的用户在支持eduroam的伙伴机构中获得使用无线网络的权限。为访客提供eduroam无线网络的机构可以针对eduroam访客设置自己的管理策略。
下图展示了802.1X和RADIUS的基本关系。其中，Client为用户终端/Supplicant，NAS为用户要接入无线网络的无线控制器，RADIUS服务器为用户身份权威机构的认证服务器。

RADIUS层次架构如下图所示，其中的Home Institution为eduroam idp（用户身份权威机构）。Visited Institution为eduroam sp（用户访问机构）。IdP/HI通过所在国家的顶级RADIUS proxy Server、顶级RADIUS Server和SP所在国家的顶级RADIUS proxy server与SP/VI建立通道，完成用户在访问机构的认证过程，支持用户接入访问机构的eduroam网络。

RADIUS层次架构的作用是：把用户身份转发到用户身份所属的机构，在那里验证用户身份的有效性。通常，eduroam采用的用户身份描述方式是“uid@realm”，其中的“uid”是用户在身份权威机构的本地身份，“realm”是机构域名。比如一个北京大学用户的eduroam id是testuid@pku.edu.cn。RADIUS层次架构的转发动作依据realm（即pku.edu.cn）完成。
从逻辑上看，Client和NAS在用户作为访客所在的网络中，RADIUS服务器在用户身份权威机构中。用户访问机构和用户身份权威机构可以是任何支持eduroam的机构，可以是一个国家中两个不同的机构，也可以是在不同国家中。

每一个想要加入eduroam的机构需要把它的RADIUS服务器连接到所在国家的FLR（Federation Level RADIUS服务器）。FLR通常由国家教育科研网运行。FLR有这个国家中参加eduroam机构的完整清单。通过这种机制保证了不同国家eduroam机构之间的成功漫游。对于国际漫游来讲，还需要配置地区级别的顶级RADIUS服务器，它的作用是实现地区之间的用户请求漫游。目前，两个顶级TLR（Top Level RADIUS）部署在欧洲。中国和TLR之间的逻辑关系如下图所示。

下面以北京大学某位老师到欧洲某个学校访问为例，演示eduroam工作流程。首先，北京大学的某位老师到欧洲访问，希望通过当地的eduroam无线网络接入到互联网。当地eduroam无线网络的RADIUS服务器@tenera.nl检测到有id为testuid@pku.edu.cn的用户申请使用eduroam，根据realm（pku.edu.cn），通过RADIUS服务器的层次关系和TLR找到.cn的RADIUS服务器，进一步找到.edu.cn和pku.edu.cn的RADIUS服务器。pku.edu.cn的RADIUS服务器验证用户身份。验证结果以同样的路径返回到@tenera.nl的RADIUS服务器，允许用户接入当地eduroam无线网络。