Wat is govroam? Een beschrijving van de voorziening
Versie 1.0 januari 2015
1
1.
govroam is… .............................................................................................................. 3
2.
Introductie ................................................................................................................. 4 2.1. 2.2.
3.
Inleiding ........................................................................................................................ 4 govroam in meer detail .................................................................................................. 4
Onderdelen van govroam ........................................................................................... 6 3.1. Technische infrastructuur .............................................................................................. 6 3.2. Routing Modellen .......................................................................................................... 6 3.2.1. Baseline RADIUS Routing (Hiërarchie)............................................................................. 6 3.2.2. Dynamische RADIUS Routing........................................................................................... 7 3.2.3. European Top-level RADIUS Servers (ETLRS)................................................................... 7 3.2.4. National-level RADIUS Server (NLRS) .............................................................................. 7 3.2.5. govroam Identity Providers (IdPs) ................................................................................... 7 3.2.6. govroam Service Providers (SPs) ..................................................................................... 7 3.2.7. Network Access Elements ............................................................................................... 8
4.
Users ......................................................................................................................... 9 4.1. Eindgebruikers............................................................................................................... 9 4.2. Administratief Personeel ............................................................................................... 9 4.2.1. Beheer op nationaal niveau ............................................................................................ 9 4.2.2. Beheer op organisatie niveau .......................................................................................... 9
5.
De Stichting government roaming Nederland (govroam) .......................................... 10 5.1. Taken en verantwoordelijkheden ................................................................................. 10 5.1.1. Gebruikersraad .............................................................................................................. 10 5.1.2. Bestuur .......................................................................................................................... 10 5.1.3. govroam Operations Team (OT) .................................................................................... 11 5.1.4. Deelnemende organisaties ............................................................................................ 12 5.1.5. Service-level Definition.................................................................................................. 12
6.
govroam procedures ................................................................................................ 13 6.1. Processen voor ondersteuning van gebruikers .............................................................. 13 6.1.1. Ondersteuning voor eindgebruikers ............................................................................. 13 6.1.2. Administratief Personeel ............................................................................................... 13 6.1.3. Scenario’s voor escalatie van problemen ...................................................................... 13 6.2. Onderhoudsprocedures ............................................................................................... 14 6.2.1. Gepland onderhoud ...................................................................................................... 15 6.2.2. Niet gepland onderhoud ............................................................................................... 15 6.3. Schenden van de service policies .................................................................................. 15 6.4. Storingen..................................................................................................................... 15 6.4.1. Monitoren van RADIUS Attributen ................................................................................ 16 6.5. Toetreden tot govroam ................................................................................................ 16
2
1. govroam is… Community govroam, geschreven met kleine letters, is een voorziening die Nederlandse organisaties in het openbaar bestuur (zoals gemeenten, ministeries, waterschappen, ZBO’s, etc.) in staat stelt hun elektronische netwerken (zoals wifi) op confederatieve basis met elkaar te delen zodat iedereen in het openbaar bestuur overal veilig online kan gaan zonder extra kosten. Aan govroam deelnemende organisaties sluiten daartoe een overeenkomst met de Stichting government roaming Nederland (‘stichting govroam’), die govroam in Nederland ontwikkelt en beheert. Vertrouwen govroam is een confederatie van organisaties die elkaar vertrouwen. Ze vertrouwen er op dat medewerkers van andere organisaties die bij hen op bezoek zijn, zich niet zullen misgedragen op het internet. En ook andersom: ze vertrouwen erop dat hun eigen medewerkers zich zullen gedragen als ze op bezoek zijn bij collega organisaties. Voorts vertrouwen ze er op dat een gast die zich misdraagt, wordt aangesproken door zijn of haar werkgever. Standaardisatie De Nederlandse govroam confederatie is gebaseerd op organisatorische en technische afspraken waar iedere govroam deelnemer mee dient in te stemmen en die beheerd worden door de Stichting govroam in overleg met de gebruikersraad. Veilig govroam zorgt voor veilige toegang doordat de hoogste eisen worden gesteld aan de protocollen die worden gebruikt voor authenticatie en encryptie. govroam netwerken zijn dus relatief veilige netwerken. En daarmee is govroam ook een keurmerk voor veilige netwerken. Technische infrastructuur govroam is een netwerk van gekoppelde RADIUS-servers die authenticatieverzoeken routeren van de gast organisatie (Service Provider) naar de organisatie waarvoor de gast werkt (Identity Provider). Daarmee is govroam ook een technische infrastructuur. Vergelijkbaar met eduroam en toch net anders govroam is qua technische uitvoering gelijk aan eduroam, wat reeds 10 jaar in meer dan 50 landen dagelijks door meer dan 20 miljoen gebruikers in onderwijs- en onderzoeksinstellingen wordt gebruikt. De organisatorische inrichting van govroam gebruikt die inrichting van eduroam als voorbeeld maar is aangepast aan de overheid. Zo is govroam in Nederland vooralsnog beperkt tot Nederlandse organisaties en wordt er terughoudend omgegaan met Service Providers van buiten de overheid. Maar mogelijkheden tot internationale samenwerking met bijvoorbeeld de ons omringende landen en de internationale organisaties in Nederland, worden verkend.
3
2. Introductie 2.1. Inleiding Dit document beschrijft op hooflijnen de technische en organisatorische aspecten van govroam. De beschrijvingen zijn in het Engels en ontleend uit de eduroam Policy Service Definition, version 2.8, 26 july 2012. De volgende onderwerpen worden behandeld:
Een algemeen overzicht van de voorziening inclusief de doelstelling, onderdelen en veiligheid. Een beschrijving van de techniek, gebruikers en werking. De govroam organisatie.
Het woord ‘policies’ wordt vaak gebruikt in dit document. De ‘policies’ verwijzen naar een set van technische standaarden en organisatorische regels waar aan voldaan dient te worden om deel te kunnen nemen aan govroam. De policies zijn vastgelegd in het document “govroam NL service policy”.
2.2. govroam in meer detail govroam (GOVernment ROAMing) maakt het voor werknemers van deelnemende overheidsinstellingen zoals gemeenten, provincies, ministeries, waterschappen mogelijk om op een eenvoudige en veilige wijze internet toegang te verkrijgen. De architectuur waardoor dit mogelijk is maakt gebruik van een aantal (bewezen) technologieën en onderlinge afspraken, met als resultaat: “open je laptop en je bent online”. Het onderliggende basisprincipe van de veiligheid van govroam is dat de authenticatie van een gebruiker uitgevoerd wordt door zijn/haar eigen organisatie, op het domein van die eigen organisatie, en via de specifieke methode van die eigen organisatie. De benodigde autorisatie om toegang te verlenen tot lokale netwerkmiddelen wordt uitgevoerd door het netwerk waar de medewerk te gast is. De Nederlandse nationale govroam voorziening is confederatief georganiseerd. Deze organisatie houdt in dat de deelnemende organisaties een overeengekomen en samenwerkend geheel vormen. De overeenkomst omvat een set van organisatorische en technische afspraken die het eenvoudig en veilig gebruik van toegang tot internet en eventuele andere toepassingen (bijvoorbeeld printen) waarborgt. De deelnemende organisaties blijven onafhankelijk en zelfstandig verantwoordelijk voor de eigen organisatorische en technische invulling. De govroam dienst en de wijze van organiseren volgt die van govroam. De technische invulling betreft een hiërarchisch systeem van Remote Authentication Dial-In Service (RADIUS) servers. Wanneer een gebruiker die op een gastlocatie (niet zijn eigen locatie) gebruik wil maken van internet dan zal zijn verzoek om toegang via het authentication request door de RADIUS servers doorgezet worden naar zijn thuislocatie, en het antwoord (authentication response) zal terug gestuurd worden. Iedere deelnemende organisatie zal een eigen RADIUS server inrichten en deze koppelen aan de centrale nationale RADIUS. Wanneer govroam zich zou uitbreiden naar Europa dan
4
zal de Nederlandse nationale govroam RADIUS server gekoppeld worden aan een Europese centrale RADIUS server. govroam volgt hierin dan de hiërarchisch infrastructuur die wereldwijd voor eduroam is toegepast. Het juist routeren van de authenticatie berichten is mogelijk omdat de gebruikersnamen een vast voorgeschreven format hebben op basis waarvan de RADIUS servers de berichten door de hiërarchie kunnen sturen. Het format van een gebruikersnaam is “user@realm” waarin realm een fully qualified domain name (FQDN). Voorbeelden van geldige gebruikersnamen in dit voorgeschreven format zijn:
[email protected] of
[email protected] . Access points of switches gebruiken de IEEE 802.1X standaard met het Extensible Authentication Protocol (EAP). Instellingen bepalen zelf welke EAP-methode voor hun het beste gehanteerd kan worden. Zo is het mogelijk om via een beveiligde tunnel (bijvoorbeeld EAP-TTLS of PEAP) de authenticatie gegevens (gebruikersnaam/wachtwoorden etc) te versturen. Een andere mogelijkheid is om gebruik te maken van wederzijdse authenticatie via publieke X.509 certificaten. In al deze authenticatiemethoden wordt er gebruik gemaakt van een beveiligde tunnel (secure TLS session) vanaf het toestel van de gebruiker tot en met zijn thuis authenticatie server, zodat de persoonlijke gegevens van de gebruiker niet zichtbaar zijn voor de tussenliggende partijen. De confederatieve govroam voorziening omvat alle mogelijkheden om een veilige dienstverlening te bewerkstelligen.
5
3. Onderdelen van govroam Dit hoofdstuk beschrijft de infrastructuur waar govroam uit is opgebouwd. Dit houdt onder andere in: de technische infrastructuur en de ondersteunende onderdelen, zoals monitoring, diagnose tools, de govroam website, centrale data opslag en ticketing system voor problemen.
3.1. Technische infrastructuur De confederatieve infrastructuur is gebaseerd op gedistribueerde AAA1 servers. De huidige opzet gebruikt RADIUS voor het AAA protocol. Er zijn verschillende transport protocollen om RADIUS data pakketten te transporteren: RADIUS/UDP, RADIUS/TCP, RADIUS/DTLS en RADIUS/TLS. govroam ondersteunt het transport over RADIUS/UDP en RADIUS/TLS en beveelt het gebruik van RADIUS/TLS aan. De routering van RADIUS berichten, onafhankelijk van de wijze van transport, gebeurt op twee manieren: een zogenaamde baseline routing model, gebaseerd op de hiërarchie van RADIUS servers, en een dynamisch routing model, gebaseerd op DNS. Het dynamische routing model wordt alleen ondersteund bij RADIUS/TLS. De routing modellen en onderdelen van de infrastructuur worden in de volgende paragrafen in meer detail behandeld.
3.2. Routing Modellen 3.2.1. Baseline RADIUS Routing (Hiërarchie) De RADIUS hiërarchie van de Nederlandse govroam confederatie bestaat uit verschillende RADIUS servers die bij de deelnemende organisatie staan. Deze zijn direct of indirect aangesloten op de nationale RADIUS proxy server. Zie figuur 2.1.
Top-level national RADIUS Server(s)
HO = Home Organisation VO = Visited Organisation IdP = Identity Provider SP = Service Provider
RADIUS
RADIUS
HO
VO
RADIUS Server
RADIUS Server
RADIUS
RADIUS
HO IdP
VO SP
AuthN S
user
access
network
Nationale Confederatieve infrastructuur
1
Authentication, Authorization en Accounting zijn Engelse termen en worden ook wel AAA of triple-A genoemd. Een AAA wordt gebruikt om de toegang te controleren, gedefinieerde regels te hanteren en het gebruik te auditeren.
6
De nationale Top-level RADIUS Server (NTLRS) van govroam verbindt de deelnemende organisaties in govroam. Deze server vindt de juiste RADIUS server van de ‘thuis’ organisatie (IdP) van de gebruiker, en zorgt voor een veilig transport van alle gebruikers informatie tussen de RADIUS servers. De NTLRS van govroam wordt onderhouden door de Roaming Operator, in dit geval de Stichting govroam. De stichting heeft het beheer uitbesteed aan SURFnet. 3.2.2. Dynamische RADIUS Routing Bij dynamische routing maakt de govroam IdP zijn RADIUS server bekend via DNS. govroam Service Providers (SPs), die een gebruiker moeten authentiseren, vinden de juiste RADIUS server door het Domain Name System (DNS) te bevragen voor een specifiek govroam vermelding op de server. In dit routing model is geen intermediaire RADIUS infrastructuur nodig, maar kan deze kunnen wel parallel aan elkaar werken. 3.2.3. European Top-level RADIUS Servers (ETLRS) Momenteel is er geen centrale Europese Top-level RADIUS Server (ETLRS) omdat er geen Europese govroam confederatie is. 3.2.4. National-level RADIUS Server (NLRS) De centrale Nederlandse govroam RADIUS server heeft een lijst met alle aangesloten IdP servers en hun realms (het gedeelte na de @ in een emailadres:
[email protected]). Daarnaast beschikt de NLRS over een lijst met de aangesloten Service Providers (SP). Mogelijk zal deze server in de toekomst met de Europese (ETLRS) server worden verbonden. De NTLRS ontvangt authenticatie verzoeken van de ETLRS en SPs en stuurt deze door naar de desbetreffende IdP. 3.2.5. govroam Identity Providers (IdPs) Een govroam IdP’s RADIUS server authentiseert zijn eigen gebruikers (‘thuis’ of als zij te gast zijn bij een andere organisatie uit de govroam community) door de credentials te checken bij het eigen Identity Management System. Het Identity Management System bevat informatie van eindgebruikers (bijvoorbeeld usernames en passwords). Het Identity Management System moet actueel worden gehouden door de Identity Provider. Let op: de RADIUS server van de govroam Identity Provider's heeft de meest complexe taak. De meeste RADIUS servers sturen authenticatie verzoeken alleen maar door, de server van de Identity Provider's moet gebruikers ook daadwerkelijk authentiseren. Daarom moet deze geschikt zijn om EAP requests af te handelen en informatie op te vragen uit de identity management systemen. 3.2.6. govroam Service Providers (SPs) De RADIUS server van een govroam Service Provider (SP) is verantwoordelijk voor het doorsturen van authenticatieaanvragen van gasten naar de verantwoordelijke IdP. Nadat een gebruikers is geauthentiseerd kan de RADIUS server van de SP de gebruiker in een daar voor bestemd VLAN plaatsen. In de meeste gevallen zal een deelnemer aan govroam zowel IdP als SP zijn.
7
3.2.7. Network Access Elements govroam is niet afhankelijk van toegangstechnologieën. Gebruikers van govroam kunnen toegang krijgen via draadloze en bedrade netwerken. Toegang via draadloze netwerken is uiteraard de basis van govroam.. In beide gevallen is software nodig op het apparaat waarmee de gebruiker online wil gaan, die de authenticatie verzorgt (supplicant software). 3.2.7.1. Supplicants Het apparaat waarmee de eindgebruikers online wil gaan moet software (supplicant software) hebben die het IEEE 802.1x protocol ondersteunt en het EAP protocol gebruikt om authenticatie informatie te verzenden. Vrijwel altijd is deze software ingebouwd in het besturingssysteem (OS). In sommige gevallen moet er een apart programma worden geïnstalleerd. Om govroam goed te kunnen gebruiken moet het apparaat via de instellingen van het besturingssysteem of de supplicant software, juist zijn ingesteld. 3.2.7.2. Access Points Access points zijn alleen nodig voor draadloze toegang tot het netwerk. Access points moeten IEEE 802.1X ondersteunen. Ze moeten ook toegangsverzoeken van een gebruiker kunnen door doorsturen naar de RADIUS van de SP die deze vervolgens doorstuurt naar de IdP, zodat de gebruiker juist geauthentiseerd kan worden. Mogelijk moeten access points ook gebruikers toewijzen aan specifieke VLANs, gebaseerd op de instructies die het AP ontvangt van de RADIUS server. Verder moeten AP’s de benodigde (sleutel)informatie met het apparaat van de eindgebruiker uitwisselen zodat deze niet gehijacked kan worden en om er voor te zorgen dat de data tussen het AP en de gebruiker beveiligd wordt. 3.2.7.3. Switches Switches worden gebruikt voor toegang tot een bedraad netwerk. Bedrade netwerken kunnen ook geconfigureerd worden voor IEEE 802.1X. Hierdoor kunnen govroam gebruikers met hun pc of laptop toegang kunnen krijgen tot bedrade netwerken mits de switches IEEE 802.1x ondersteunen en de juiste poorten voor govroam toegang open zijn gezet. Voor een juiste authenticatie en het toewijzen van een specifiek VLAN moeten de switches een toegangsvraag van een gebruiker kunnen doorzetten naar de RADIUS server van de SP en de reactie kunnen afhandelen.
8
4. Users Dit hoofdstuk beschrijft de verschillende soorten gebruikers en de wijze waarop de govroam voorziening daarop ingericht is.
4.1. Eindgebruikers Eindgebruikers zijn de individuele personen die govroam gebruiken om toegang te krijgen tot een netwerk. Dat netwerk is het netwerk van de eigen organisatie of dat van de organisatie waar de eindgebruiker te gast is. Gastgebruikers komen meestal niet in het eigen netwerk terecht, maar worden in een VLAN geplaatst dat enkel transparante toegang tot internet geeft. In het algemeen zijn er twee gradaties in eindgebruikers; technologie bewust en technologie onbewust. De technologiebewuste eindgebruiker zal de govroam documentatie begrijpen en vrijwel zonder hulp in staat zijn het eigen toestel in te stellen om van govroam gebruik te maken. Andere gebruikers zullen meer assistentie nodig hebben. In termen van het huidige dienstenportfolio van govroam wordt er geen onderscheid gemaakt tussen deze gebruikers.
4.2. Administratief Personeel Beheerders zijn de gebruikers die delen van de govroam voorziening beheren. Er wordt onderscheid gemaakt in beheerders op nationaal niveau en op organisatie niveau. 4.2.1. Beheer op nationaal niveau Een klein aantal beheerders kan de nationale govroam servers beheren. Van belang is dat deze beheerders veel kennis van de RADIUS server en technologie hebben. Gezien het beperkte beheer en de vereiste kennis, zal in ieder geval voor de aanvangsperiode met de beheerders van eduroam (samen-)gewerkt worden. 4.2.2. Beheer op organisatie niveau Op het niveau, en ook het domein, van de deelnemende organisaties dient eveneens beheer plaats te vinden. Het beheer op het niveau van een deelnemende organisatie verschilt aanzienlijk van dat op nationaal niveau. Beheerders van deelnemende organisaties moeten de onderdelen die zorgen voor de authenticatie en identity management systemen, configureren en de correcte werking waarborgen. Iedere organisatie bepaalt zelf met welke apparatuur en op welke wijze deze de infrastructuur inricht. Gegeven de vele mogelijkheden tot invulling, is het voor de stichting govroam niet mogelijk en voor deelnemende organisaties niet wenselijk, om voor iedere wijze van implementatie uitputtende documentatie te verzorgen van hoe deze geconfigureerd dient te worden.
9
5. De Stichting government roaming Nederland (govroam) govroam wordt in Nederland ontwikkeld en beheerd door de Stichting government roaming Nederland. De Stichting stelt een gebruikersraad in. Hierin kunnen medewerkers van aan govroam deelnemende organisaties zitting nemen. Het dagelijks management van de stichting is belegd bij de landelijk coördinator (LC) en de chief technology officer (CTO). Samen zijn zij het Operations Team (OT). Sommige operationele taken besteden zij uit aan andere partijen. Een voorbeeld daarvan is het inrichten en beheren van de centrale nationale govroam server. Dit doet op dit moment SURFnet. Het bestuur van de stichting stuurt de LC en de CTO aan. De gebruikersraad heeft zeggenschap bij het vaststellen en wijzigen van de govroam policies. De gebruikersraad wordt ondersteund door de CTO.
5.1. Taken en verantwoordelijkheden De volgende paragrafen bespreken de rollen en verantwoordelijkheden van:
De Gebruikersraad Het Bestuur govroam Operations Team (OT) deelnemende organisaties.
5.1.1. Gebruikersraad Alleen aan govroam deelnemende organisaties kunnen zitting nemen in de Gebruikersraad. Medewerkers van organisaties die IdP zijn en de govroam policies hebben geaccepteerd, hebben ook stemrecht in de Gebruikersraad. De Gebruikersraad: -
Adviseert over relevante ontwikkelingen bij gebruikende organisaties en hun eindgebruikers, die voor de toekomst van govroam belangrijk kunnen zijn of worden; Adviseert over het beleid t.a.v. het aansluiten van Service Providers op de govroam infrastructuur Adviseert over de naleving van de policies door de deelnemers en ondersteunt het OT naar behoefte.
5.1.2. Bestuur Het bestuur is eindverantwoordelijk voor de activiteiten van de Stichting. Het bestuur kent thans 4 leden. Dat aantal is uit te breiden. Het bestuur: -
-
is eindverantwoordelijk voor de govroam voorziening in Nederland. Dit betreft het werven van (nieuwe) deelnemers, het in stand houden en ontwikkelen van de technische infrastructuur, het waarborgen van de integriteit van govroam en het ontwikkelen en delen van kennis tussen de deelnemers in govroam; stelt daartoe een strategie vast; stelt jaarlijks het jaarplan en de begroting van de stichting vast; gaat een deelnemersovereenkomst aan met de deelnemers en ziet toe op naleving van die overeenkomst door de deelnemers;
10
-
-
beëindigt een deelnemersovereenkomst indien ze daar toe genoodzaakt is (doordat een deelnemer zich bijvoorbeeld niet aan de policies houdt of de deelnemersvergoeding niet betaalt) gaat overeenkomsten met derden aan, die nodig zijn om de strategie en het jaarplan uit te kunnen voeren; stelt de aansluit- en abonnementstarieven vast; stelt de kwaliteitsnormen (zoals uptime en verwerkingscapaciteit) voor de govroam voorziening vast; delegeert de uitvoering van de strategie aan het OT; ziet toe op uitvoering van de strategie door het OT; organiseert de ondersteuning van de Gebruikersraad.
5.1.3. govroam Operations Team (OT) Het govroam OT is verantwoordelijk voor de dagelijkse gang van zaken. Dat betekent dat de dienstverlening soepel moet verlopen en het aantal deelnemers groeit. Taken van het OT zijn oa:
Ondersteunen van het bestuur Adviseren van het bestuur over de ontwikkeling van de govroam infrastructuur en strategie van stichting. Beheren en verbeteren van de technische infrastructuur. Monitoring van govroam. Afhandelen van technische problemen Ondersteunen van nieuwe deelnemende organisaties Ontwikkelen van middelen voor diagnose en beheer. Incident afhandeling, conform opgestelde overeengekomen processen. Onderhouden van de centrale repository (database) welke informatie bevat over de govroam dienstverlening. Uitbreidingsplan opstellen (wie benaderen, wanneer, hoe) en uitvoeren Communicatieplan opstellen (pers, congressen, website, social media) Marketing plan met als doel govroam als veilig merk verder te ontwikkelen. Samenwerking met gemeenten, provincies en andere instanties opzetten om andere deelnemers te werven. Ontwikkelt (online) diensten ter ondersteuning van de govroam infrastructuur. Neemt initiatieven tot ontwikkelen en delen van kennis tussen de deelnemende organisaties.
Deze taken kan het OT zelf uitvoeren of uitbesteden aan derden.
11
5.1.4. Deelnemende organisaties Deelnemende organisaties zouden op zijn minst een persoon moeten afvaardigen in de gebruikersraad. Verder moeten ze:
blijvend voldoen aan de govroam policies het OT voorzien van noodzakelijke ondersteuning en informatie ondersteuning en informatie geven aan eindgebruikers Jaarlijks hun deelnemersbijdrage betalen
5.1.5. Service-level Definition Het OT is verantwoordelijk voor het managen van de dienst. Daarom onderhoudt het OT:
De confederatieve infrastructuur (zie sectie 3.1). systemen voor monitoring en diagnose govroam database. govroam website. ticketing system voor problemen met govroam
Het OT kan deze activiteiten zelf uitvoeren of uitbesteden aan derden. Op dit moment wordt de govroam infrastructuur bijvoorbeeld beheerd door SURFnet. Het doel is om alle diensten meer dan 99% van de tijd beschikbaar te hebben. Voor wat betreft de beschikbaarheid van de confederatieve infrastructuur is het doel om in 2016 die 99,9% beschikbaar te hebben. De beschikbaarheid wordt gemeten door de ratio te bepalen van de werkelijke versus de theoretische uptime van de benodigde servers. Daarvoor worden de juiste monitoring instrumenten ingezet door het OT. De aldus verkregen logfiles worden minimaal 6 maanden bewaard.
12
6. govroam procedures Dit hoofdstuk beschrijft de belangrijkste procedures van govroam. Het OT en bestuur communiceren met behulp van de volgende media:
Mailing lists Trouble Ticketing System (TTS). govroam website. persoonlijke gesprekken en video conferenties.
6.1. Processen voor ondersteuning van gebruikers Deze paragraaf beschrijft de ondersteuning van gebruikers. Maar let op: eindgebruikersondersteuning is primair de verantwoordelijkheid van de organisatie die govroam aanbiedt aan haar medewerkers. Govroam is relatief nieuw. Daardoor is er beperkte ervaring met de problemen waar gebruikers tegen aan kunnen lopen. Dit maakt het weer onmogelijk een uitputtende beschrijving te maken van alle gebruikers- en supportscenario’s. De volgende paragrafen beschrijven daarom mogelijke scenario’s, die zijn gebaseerd op de ervaringen met eduroam. Wanneer de ervaring met govroam toeneemt, zullen de scenario’s en oplossingen worden aangepast. Govroam is zo ingericht dat de thuis organisatie van een gebruiker, hem of haar voorziet van de juiste informatie en ondersteuning om gebruik te maken van govroam. 6.1.1. Ondersteuning voor eindgebruikers Eindgebruikers kunnen roamen binnen de confederatie. Als er problemen ontstaan tijdens het roamen, dan moet de eindgebruiker ondersteuning vragen aan de eigen ‘thuis organisatie’. Mogelijk dat de thuis organisatie contact opneemt met de Stichting indien de situatie daar om vraagt. Eindgebruikers kunnen geen contact opnemen met de stichting. Ondanks deze procedures wordt deelnemers aan govroam gevraagd ook bezoekende gebruikers te helpen indien dat nodig is. 6.1.2. Administratief Personeel Medewerkers van een deelnemende govroam instelling:
Escaleren problemen naar de stichting als zij ondersteuning nodig hebben. Nemen contact op met het OT als een probleem betrekking heeft op de technische govroam infrastructuur.
6.1.3. Scenario’s voor escalatie van problemen eduroam leert ons dat er verschillende scenario’s zijn voor ondersteuning van eindgebruikers. Deze scenario’s ontwikkelen zich verder aan hand van de praktijk. Uitgangspunt is daarbij dat de ondersteuning zich aanpast aan veranderende wensen en werkelijkheden. In het hierna beschreven scenario, heeft een gebruiker problemen om via govroam internet te gebruiken bij een gast organisatie.
13
1. de gebruiker belt met de eigen organisatie en vraagt om ondersteuning van de eigen helpdesk of service desk. 2. De helpdesk checkt of de username en password van de gebruiker kloppen en helpt met het opzetten van de verbinding van het apparaat van de gebruiker met het govroam netwerk. De helpdesk moeten uitzoeken of zij een juist authenticatieverzoek ontvangen via de govroam infrastructuur van de organisatie waar de medewerker op bezoek is. Indien blijkt dat er problemen zijn met de username en password of met de instellingen op het eigen apparaat, dan helpt de helpdesk dit op te lossen. 3. Indien wordt vastgesteld dat de thuis organisatie geen goede authenticatie vraag door krijgt van de gastorganisatie, moet de helpdesk contact zoeken met de daarvoor verantwoordelijke medewerker van de gast organisatie. De gastorganisatie met dan beschikbare informatie dient hulp te bieden en checks uitvoeren om het probleem vast te stellen. 4. Mocht het nodig zijn, dan moet de heldesk van de gastorganisatie de bezoeker informeren over de wijze waarop het probleem wordt opgelost.
In het volgende scenario heeft de gebruiker problemen om toegang te krijgen tot govroam buiten haar thuis organisatie. Het probleem dient geëscaleerd te worden naar de Roaming Operator (de stichting). 1. De gebruiker belt met de helpdesk van de eigen organisatie. 2. De helpdeskmedewerker van de eigen organisatie controleert de gebruikersnaam en wachtwoord van de gebruiker. Er wordt ook geprobeerd het apparaat van de gebruiker juist in te stellen. Daarnaast wordt gecheckt of er juiste authenticatie vragen worden ontvangen door de thuis organisatie. Indien er problemen zijn met de gebruikersnaam / password of instellingen worden vastgesteld, dient de medewerker de gebruiker te helpen deze op te lossen. 3. Mocht worden vastgesteld dat er geen goede authenticatie aanvraag wordt ontvangen van de gastorganisatie en het probleem wordt niet opgelost door contact te zoeken met de gastorganisatie, dan wordt er contact opgenomen met het OT van de Roaming Operator. 4. Het OT controleert de verbindingen en neemt indien nodig contact op met de gast organisatie om de problemen op te lossen. 5. Een medewerker van de gastorganisatie informeert de gebruiker als de problemen zijn opgelost.
6.2. Onderhoudsprocedures Deze paragraaf beschrijft de onderhoudsprocedures. De procedures, en onderhoudswindows, worden vastgesteld door het bestuur van de stichting.
14
6.2.1. Gepland onderhoud Gepland onderhoud van de centrale govroam server, en eventuele andere servers, is de verantwoordelijkheid van het OT. Gepland onderhoud wordt 7 dagen van te voren aangekondigd via een e-mail bericht aan de govroam contactpersonen. Indien een SP onderhoud aan haar eigen govroam infrastructuur gaat uitvoeren, dient dat minimaal 2 dagen vooraf meegedeeld te worden via de maillinglist.
6.2.2. Niet gepland onderhoud Niet gepland onderhoud heeft meestal betrekking op een veiligheidsincident of een ander probleem dat de werking van govroam verstoort en direct verholpen dient te worden. Niet gepland onderhoud aan de nationale govroam server wordt zo snel mogelijk medegedeeld via de maillist. Hetzelfde geldt voor niet gepland onderhoud aan de zijde van de SP.
6.3. Schenden van de service policies Indien een deelnemer aan govroam de service policies schendt, onderneemt het OT de volgende acties, inclusief informeren van het bestuur en bij ernstige schendingen informeren van de gebruikersraad. Afhankelijk van de ernst van de schending: Het OT informeert het bestuur over de schending van de service policies en start een beoordeling van de schending binnen twee werk uren. Het OT stelt een tijdelijke quarantaine maatregel voor (de lengte van de periode en de exacte maatregelen worden per casus bepaald). Het OT stelt aan de gebruikersraad voor om de deelnemer uit te sluiten van govroam. Het OT wacht het besluit van de gebruikersraad af en handelt eventueel de uittreding van de deelnemer uit govroam verder af. Alle incidenten die de govroam dienst beïnvloeden en alle ernstige schendingen van de govroam service policies worden door het OT meegenomen in hun reguliere rapportages.
6.4. Storingen Storing bij de nationale govroam server moeten gecommuniceerd worden via de maillinglist. Het OT moet binnen 2 uur na melding starten met het oplossen van de storing.
15
6.4.1. Monitoren van RADIUS Attributen De aanwezigheid van een VLAN attribuut in een respons op een authenticatievraag, wijst meestal op een onjuiste configuratie aan de kant van de IdP. Dit kan de oorzaak zijn van lastig te achterhalen problemen aan de kant van de SP en uiteindelijk zelfs leiden tot een totale storing in de dienst voor de gebruiker. Echter, het kan niet worden uitgesloten dat sommige IdP’s en SP’s afspraken hebben gemaakt over gezamenlijke VLANs. Hierdoor is het noodzakelijk dat VLAN attributen nergens in de infrastructuur automatisch worden gefilterd. Om problemen met continuïteit in de dienstverlening door VLAN Attributen te voorkomen, monitort het OT verzonden pakketten op de aanwezigheid van VLAN tagging attributen, namelijk:
Tunnel-Type. Tunnel-Medium-Type. Tunnel-Private-Group-ID.
Het OT informeert de confederatie waar deze pakketten vandaan komen. Deelnemers aan de confederatie worden aangemoedigd om hetzelfde te doen. Dat betekent dat ze moeten vaststellen of de zender deze attributen bewust of niet doorzendt. Indien nodig moet er actie op worden ondernomen.
6.5. Toetreden tot govroam Alle organisaties die zijn geregistreerd in de Staatsalmanak voor het Koninkrijk der Nederlanden, welke is gepubliceerd op https://almanak.overheid.nl/, of die zijn ingesteld bij Wet of bij Algemene Maatregel van Bestuur [AMVB], kunnen deelnemen aan govroam. Om deel te nemen dienen ze in te stemmen met de policies (document: govroam NL service policy), en dus govroam volgens de gedefinieerde instellingen aan te bieden, en de eenmalige aansluitbijdrage en het jaarlijkse abonnementsgeld te voldoen. Indien het OT vaststelt dat een kandidaat lid voldoet aan de policies en het bestuur stelt vast dat aan de financiële verplichtingen is voldaan, zal de gebruikersraad het toetreden van de nieuwe deelnemer goedkeuren.
16