Teknik

Teknikken i eduroam bygger på portbaseret adgangskontrol og Radius.

Eduroam er et samarbejde, der giver brugerne adgang til internet. Brugeren skal være kendt på hjeminstitutionen. Når brugeren anmoder om adgang (automatisk fra smartphone eller bærbar), sendes en forespørgsel til hjeminstitutionen. Kun hvis der siges god for brugeren, gives der adgang.

Teknisk set løses det med portbaseret adgangskontrol (IEEE 802.1X).

Autentifikationen af brugeren foretages på hjeminstitutionen og kommunikeres over Extensible Authentication Protocol (EAP) mellem den besøgte lokalitet og hjeminstitutionen.

I fasen hvor autentifikation foregår, varetages kommunikationen af en struktur af Radius-servere. Institutionerne har hver en Radius-server, den nationale operatør har en Radius-server, og hvert kontinent har en overordnet Radius-server.

Hjeminstitutionen vælger selv, hvilke EAP-metoder den vil understøtte. De mest udbredte er EAP-TTLS og EAP-PEAP med MS-CHAPv2.

I disse metoder autentificerer hjeminstitutionens server sig ved at præsentere sit server-certifikat for brugerens enhed. Certifikatet bruges til at sikre kommunikationskanalen, inden brugerens credentials sendes. I brugerens enhed kan certifikatet effektivt valideres ved at matche det med udstederens CA rod-certifikat. Derfor er det afgørende for sikkerheden, at CA rod-certifikat installeres i brugerens enhed. Det sker typisk gennem installationspakker tilgængeliggjort i eduroam CAT.