แนวโน้มการจัดท านโยบายของ eduroam...

แนวโน้มการจัดท านโยบายของ eduroam ประเทศไทย ปี 2561

อนั นต์ ผ ล เพิ่ ม ( KU )

อภิ รั กษ์ จั นท ร์ ส ร้ า ง ( KU )

เ ก รี ย งศั กดิ์ เ หล็ กดี ( UN INET )

1WUNCA36@MAHASARAKHAM UNIVERSITY18 มกราคม 2561

หัวข้อที่พูดคุย•ข้อตกลงเอกสารนโยบายการเข้าร่วม eduroam ประเทศไทย

•สถาบันที่เข้าเป็นสมาชิก eduroam

•การ renew ข้อตกลงของสถาบันที่เป็นสมาชิก

•การ monitoring ระบบ eduroam

•รายละเอียดการจัดการ eduroam ทางเทคนิค

•เอกชนเป็น SP ได้ (ไม่สามารถเป็น IdP)

•อื่น ๆ

218 มกราคม 2561 WUNCA36@MAHASARAKHAM UNIVERSITY

ข้อตกลงเอกสารนโยบายการเข้าร่วม eduroamรายละเอียดนโยบายการเข้าร่วม eduroam ประเทศไทย

http://eduroam.uni.net.th/eduroam-th/index.php?var=reg&lang=thai

318 มกราคม 2561 WUNCA36@MAHASARAKHAM UNIVERSITY

บทบาทความรับผิดชอบNRO: National Roaming Operator for Thailand ◦ UniNet◦ ก าหนดนโยบายการใช้งานระดับประเทศ

IdP: Identity Provider◦ สถาบันต้นสังกัดหรือสถาบันการศึกษาที่ท าหน้าที่ก าหนดและตรวจสอบการ

ยืนยันตัวตนของผู้ใช้งาน

SP: Service Provider◦ สถาบันที่ให้บริการเครือข่ายเพ่ือให้ผู้มาเยือนเชื่อมต่อให้แก่ผู้มาเยือน

NRO: National Roaming Operator for Thailand ผู้ด าเนินการหลักของประเทศไทยก าหนดนโยบายการใช้งานระดับประเทศ

ประสานงาน ช่วยเหลือ และสนับสนุนการให้บริการ

รักษาสภาพการเชื่อมต่อกับ eduroam ทั้งในประเทศและต่างประเทศ

จัดเตรียมหน้าเว็บเพจ eduroam เพื่อให้ข้อมูลที่เกี่ยวข้อง

IdP: Identity Provider สถาบันต้นสังกัด

ก าหนดและตรวจสอบการยืนยันตัวตนการเข้าใช้งาน

ให้ค าแนะน า ให้ความรู้ และความช่วยเหลือแก่ผู้ใช้งานของสถาบัน เมื่อเข้าใช้งานที่สถาบันที่ให้บริการการเช่ือมต่อในที่ต่างๆ

แจ้งให้ผู้ใช้งานทราบว่าการใช้งานเครือข่ายอาจจะมีการเก็บบันทึกข้อมูลการจราจร

บันทึกข้อมูลการตรวจสอบการยืนยันตัวตนและการอนุมัติการเข้าใช้งาน และให้ข้อมูลที่จ าเป็นแก่ NRO เพื่อแก้ปัญหา

IdP: Identity Provider สถาบันต้นสังกัด

จัดเตรียมบัญชีผู้ใช้งานทดสอบ (test account) เพื่อให้ NRO ใช้ในการทดสอบเท่านั้น และไม่สามารถน าบัญชีนี้ไปใช้งานเครือข่ายตามปกติได้

เป็นผู้รับภาระด าเนินการต่อพฤติกรรมการใช้งานที่ผิดประเภทหรือขัดต่อกฎหมายของผู้ใช้งานในสังกัด

ต้องมีการก าหนดเจ้าหน้าที่เพื่อท าหน้าที่แก้ไขปัญหาใหก้ับผู้ใช้งานและเป็นผู้ประสานงานกับทาง NRO อย่างชัดเจน และตอบสนองต่อการร้องขอของ NRO ในช่วงเวลาที่เหมาะสม

SP: Service Provider สถาบันที่ให้บริการการเชื่อมต่ออนุญาตการเข้าใช้งานเมื่อสถาบันต้นสังกัดของผู้ใช้ที่มาเยือน (IdP) ตอบยืนยันตัวตน

แจ้งให้ผู้ใช้งานที่มาเยือนทราบถึงลักษณะการบันทึกข้อมูลการใช้งานเครือข่ายอย่างชัดเจน

ให้บริการผ่านเครือข่ายไร้สายตามมาตรฐาน IEEE 802.11 g หรือดีกว่า โดยประกาศช่ือ SSID เป็น “eduroam” (ตัวพิมพ์เล็กทั้งหมด) โดย SP จะต้องไม่ใช้การล็อกอินผ่านเว็บ (Web Login) กับผู้ใช้งานที่มาเยือน

มีการใช้งาน WPA/TKIP หรือดีกว่า (แนะน าให้ใช้ WPA2)

SP: Service Provider สถาบันที่ให้บริการการเชื่อมต่อตั้งค่าระบบการยืนยันตัวตนแบบ IEEE 802.1X (EAP) หรือดีกว่า โดยไม่รวมถึง EAP-MD5

อนุญาตให้ผู้ใช้งานที่มาเยือนสามารถใช้โปรโตคอล VPN, OpenVPN, http, https, pop, pop3s, imap, imaps และ sshเป็นอย่างน้อย

ต้องไม่เก็บค่าบริการใช้งาน eduroam

ต้องท าการ Filter Traffic ตามนโยบาย NRO ***

SP: Service Provider สถาบันที่ให้บริการการเชื่อมต่อควรก าหนดให้ eduroam ใช้งานผ่าน VLAN ที่แยกออกจากการใช้งานเครือข่ายอื่น

ควรก าหนดให้ eduroam จ่าย IP จริง (Public IP address) *** โดยเป็น IPv4 หรือ IPv6

User: ผู้ใช้งานที่มาเยือนต้องปฎิบัติตามนโยบายการใช้งานทั้งของสถาบันต้นสังกัด (IdP) และสถาบันที่ให้บริการการเชื่อมต่อ (SP) รวมถึงปฎิบัตติามพระราชบัญญัตวิ่าด้วยการกระท าผิดทางคอมพิวเตอร์ พ.ศ. 2550

เป็นผู้รับชอบในการเชื่อมต่อกับ eduroam ซึ่งเป็นตัวจริง (genuine) ของแต่ละ SP ตามค าแนะน าของ IdPก่อนที่จะกรอกช่ือบัญชีและรหัสผู้ใช้เพื่อเข้าใช้งาน

ต้องเป็นผู้รับผิดชอบต่อบัญชีและรหัสผ่านของตนเอง ถ้าสงสัยว่าบัญชีที่ใช้งานไม่ปลอดภัย ต้องรีบติดต่อกลับไปยัง IdP ทันที

เป็นผู้ที่แจ้งเหตุผดิปกติของ eduroam ต่อ IdP (และ SP ถ้าเป็นไปได)้

การบันทึกข้อมูล (Logging)IdP และ SP ต้องบันทึกทั้งการยืนยันตัวตนและการร้องขอ (authentication and accounting requests) อย่างน้อยดังนี้◦วัน เวลา ที่ได้รับการร้องขอ◦อัตตลักษณ์ของผู้ร้องขอ (RADIUS request’s identifier)◦ผลการร้องขอการยืนยันตัวตน พร้อมเหตุผลหากถูกปฎิเสธ◦ค่าสถานะ accounting

การบันทึกข้อมูล (Logging)SP ต้องบันทึกการเชื่อมต่อ DHCP ดังต่อไปนี้◦วัน เวลา ที่อนุญาตรวมถึงระยะเวลาที่อนุญาต◦MAC address ของผู้ใช้ที่มาเยือน◦ IP address ของผู้ใช้ที่มาเยือน◦ระยะเวลาการเก็บบันทึกข้อมูลของ DHCP อย่างน้อย 3 เดือน หรือ

ตามกฏหมายก าหนด

การให้ความช่วยเหลือIdP & SP ควรจัดเตรียมข้อมลูพื้นฐานเกี่ยวกับการใช้งาน eduroam บนหน้าเวพเพจของทางสถาบันให้ชัดเจนซึ่งประกอบดว้ยข้อมลูดงันี้◦ ข้อความที่ยืนยันถึงเอกสารฉบับนี้ที่ประกาศใช้อย่างชัดเจนที่เว็บเพจของ NRO หน้าที่เกี่ยวกับ

eduroam◦ มี URL เชื่อมไปยังหน้านโยบายการใช้งานของ SP◦ รายการ หรือแผนที่ ที่ก าหนดต าแหน่งที่ให้บริการ eduroam◦ รายละเอียดที่มีการประกาศ SSID “eduroam” แบบ broadcast หรือ ไม่ broadcast◦ รายละเอียดขั้นตอนการยืนยันตัวตน และบริการที่มีให้◦ รายละเอียดเกี่ยวกับการใช้งาน non-transparent application proxy รวมถึงการตั้งค่า (ถ้าม)ี◦ มี URL เชื่อม ไปยังหน้าเวพของ NRO พร้อมทั้ง logo และ trademark ของ eduroam◦ มีรายละเอียดแจ้งให้ชัดเจนถึงนโยบาย ลักษณะการจัดเก็บข้อมูลการใช้งาน สิ่งที่เก็บ และระยะเวลา

ที่เก็บ

การติดต่อสื่อสารระหว่างสถาบันเตรียมรายช่ือผู้ประสานงานและแก้ปัญหาร่วมกันกับทาง NRO

โดยมีผู้ประสานงานหลัก 1 คน และผู้ประสานงานรองอีก 1 คน พร้อมรายละเอียดการติดต่อ

ต้องแจ้งกับทาง NRO ถ้ามกีารเปลี่ยนแปลงรายชื่อตามเวลาที่เหมาะสม

ต้องแจ้งมายัง NRO เมื่อพบเหตุทางด้านความปลอดภัย การใช้งานผิดประเภท การขัดข้องของการใช้งาน และการเปลี่ยนแปลงนโยบายการเข้าใช้งาน

การบังคับใช้ และการระงับการใช้งานสิทธิในการบังคับใช้งานและการเปลี่ยนแปลงของเอกสารฉบับนี้เป็นของ NRO

การเปลี่ยนแปลงใดๆ ของเอกสารฉบับนี้จะเป็นไปตามความเห็นชอบของหน่วยงานที่เข้าร่วมและ NRO

สถาบันที่เชื่อมต่อเข้ากับ eduroam ของประเทศไทย ถือว่ายอมรับในนโยบายการใช้งานที่ก าหนดขี้นโดยเอกสารฉบับนี้

ในกรณีที่เกิดความจ าเป็น NRO มีสิทธิในการหยุดใหบ้ริการ eduroam หรือให้บริการแบบมีข้อจ ากัด ทั้งนี้ NRO จะต้องแจ้งถึงเหตุและความจ าเป็นดังกล่าวแก่สถาบันที่เข้าร่วมรับทราบ

หัวข้อที่พูดคุย•ข้อตกลงเอกสารนโยบายการเข้าร่วม eduroam ประเทศไทย

•สถาบันที่เข้าเป็นสมาชิก eduroam

•การ renew ข้อตกลงของสถาบันที่เป็นสมาชิก

•การ monitoring ระบบ eduroam

•รายละเอียดการจัดการ eduroam ทางเทคนิค

•เอกชนเป็น SP ได้ (ไม่สามารถเป็น IdP)

•อื่น ๆ

1718 มกราคม 2561 WUNCA36@MAHASARAKHAM UNIVERSITY

สถาบันที่เข้าเป็นสมาชิกขณะนี้มี

• มหาวิทยาลัย• ส านักงานคณะกรรมการการอุดมศึกษา• ส านักงานบรหิารเทคโนโลยีสารสนเทศเพื่อพัฒนาการศึกษา (UniNet)• สวทช• สสวท

1818 มกราคม 2561 WUNCA36@MAHASARAKHAM UNIVERSITY

การ renew ข้อตกลงของสถาบันที่เป็นสมาชิกขณะนี้ไม่มีการ renew

1918 มกราคม 2561 WUNCA36@MAHASARAKHAM UNIVERSITY

การ monitoring ระบบ eduroamขณะนี้

http://monitor-eduroam.uni.net.th https://eduroam-mon.uni.net.th

2018 มกราคม 2561 WUNCA36@MAHASARAKHAM UNIVERSITY

รายละเอียดการจัดการ eduroam ทางเทคนิคการสร้างเสถียรภาพ

การเพ่ิมความปลอดภัยในการสื่อสารระหว่าง radius

การใช้ testuser เพื่อตรวจสอบสถานะการให้บริการ

2118 มกราคม 2561 WUNCA36@MAHASARAKHAM UNIVERSITY