eduroamin vianselvitys, osa 1: Juuripalvelun rooli
Idea näihin blogipostauksiin lähti CSC:n meiltä tekemästä kyselystä siitä, että olisiko meillä (Arch Redillä) Suomen eduroamin juuripalvelun ylläpitäjinä tietoja siitä, mitkä ovat 10 yleisintä autentikaatiovirhettä eduroam-verkoissa. Tälläisiä virheitä tulikin sitten mietittyä, mutta niitä analysoidessa kävi selväksi se, että mitkään niistä eivät varsinaisesti liittyneet tai olleet selvitettävissä tai ratkaistavissa juuripalvelun kautta. Päinvastoin suurin osa niistä oli selvitettävissä ainoastaan organisaatioiden omien tunnistuspalveluiden ja käytäntöjen kautta.
Ymmärtääkseen kuitenkin kokonaiskuvan on tärkeä hahmottaa ensin se, mikä on juuripalvelun rooli ja kyvyt eduroam-verkkovierailussa. Yksi eduroamin parhaista ominaisuuksista nimittäin on myös sen heikkous ajatellen yleistä vianselvitystä. Eduroamin autentikaatioliikennettä ei nimittäin pystytä välityspisteissä purkamaan vaan autentikointi tehdään salatun putken suojassa käyttäjät kotiorganisaatioon. Näin ollen myös lähes kaikki ongelmiin ja epäonnistumisiin liittyvä tieto on kerättävissä pelkästään organisaatioiden (IdP) RADIUS-palvelimen lokeista ja tiedoista.
Juuripalvelimelta ei siis pystytä selvittämään sitä, miksi joku autentikointi epäonnistuu ellei sitä pystytä päättelemään ulomman kuoren reititysongelmaksi (väärä realm) tai organisaation RADIUS-palvelimen vastaamattomuudeksi. Sisällä liikkuvaan tietoon ei välityspisteissä päästä käsiksi. Edes kaikki epäonnistumisetkaan eivät juuripalvelussa näy vaan jos esim. varmenneongelman takia TLS-tunnelin muodostus keskeytyy, tätä ei nähdä epäonnistuneena tai onnistuneena autentikaationa juuripalvelimella ollenkaan. Vain selvät IdP:n päätökseen johtaneet verkkovierailut näkyvät lokeissa onnistuneina tai epäonnistuneina autentikaatiopyyntöinä, eikä näistä useinkaan nähdä varsinaista syytä onnistumiseen tai epäonnistumiseen vaan nämä tiedot on organisaation tarkistettava omilta autentikaatiopalvelimiensa lokeista.
Tästä syystä tunnistamisongelmien syyt sekä niihin liittyvä vianselvitys tai yleisempien vikojen tilastointi pitää tehdä organisaatioiden RADIUS-palvelimilta. Juuripalvelimilta tuota tietoa ei pystytä keräämään.
Arch Redissä me olemme kuitenkin avustaneet monia yliopistoja liittymään eduroamiin. Joillekin olemme toimittaneet avaimet käteen integrointeja ja auttaneet tukisopimusten puitteissa selvittämään RADIUS-palvelimeen liittyviä autentikaatiovirheitä. Tälläiset autentikaatiovirheet ovat olleet juuri niitä, joita juuripalvelusta ei pääse näkemään vaan jotka kokemuksen kautta tulevat vastaan useimmin organisaatioiden omissa verkoissa. Seuraavassa osassa käydäänkin läpi yleisimmät eduroam-organisaatioissa autentikaatiovirheitä aiheuttavat tekijät.
Ei kommentteja:
Lähetä kommentti