WiFi@PdCNR
versione 2.1
Guida utente

P.Bison, C.Cavaggion
ISIB-CNR



RapportoTecnico 01/14 ISIB-CNR
Padova, Dicembre 2014


ISIB-CNR
Corso Stati Uniti 4
35100 Padova IT


SOMMARIO

In questa guida si descrivono le funzionalità del servizio WiFi@PdCNR dall'Area della Ricerca di Padova e le procedure da utilizzare per usufruire del servizio stesso. Questo servizio fornisce l'accesso alla rete internet attraverso un collegamento wireless ed è offerto sia a dipendenti che a ospiti delle istituzioni presenti nell'area della ricerca stessa. L'accesso è consentito solo ad utenti in possesso di credenziali rilasciate dall'Area della Ricerca di Padova e dal CNR di Roma o ad utenti appartenenti ad istituzioni afferenti alla federazione GARR IDEM o a quella EDUROAM. Inoltre, dato che l'Area della Ricerca di Padova del CNR aderisce alla federazione EDUROAM che realizza un sistema di "roaming" per l'accesso a Internet a livello mondiale, questo servizio permette al personale dell'Area della Ricerca di Padova di utilizzare in tutto il mondo le proprie credenziali per accedere in modo sicuro alle reti wireless delle istituzioni aderenti a tale federazione.




INDICE

  1. Credenziali di accesso
  2. Credenziali ADRPD
  3. Reti wireless
  4. Connessione alla rete adr_guest
    1. Collegamento iniziale
    2. Autenticazione CNR
    3. Autenticazione Ospiti
    4. Autenticazione IDEM
  5. Connessione alle reti adr_wifi e eduroam-adr
    1. Windows XP
    2. Mac OS X
    3. Linux
    4. Android
  6. Procedure utente ADRPD
    1. Visualizzazione dati
    2. Modifica password di accesso
    3. Registrazione dispositivo wireless
    4. Richiesta/Riattivazione credenziali per ospite
  7. Procedure ospite ADRPD
    1. Richiesta nuova password di accesso


Credenziali di accesso

Per poter usufruire del servizio WiFi@PdCNR un utente deve utilizzare una delle seguenti credenziali di accesso (username/password) per autenticarsi con il servizio:


Credenziali ADRPD

Le credenziali di accesso fornite dall'Area della Ricerca di Padova sono costituite da una coppia username/password e sono di due tipi:

  1. permanenti
    Username è nella forma id@dominio dove id è una stringa alfanumerica unica per ciascun utente e dominio individua un istituto o un particolare insieme di utenti.

    Oltre alla notazione è possibile utilizzare i seguenti formati come username:

    Nella forma id.dominio@pd.cnr.it sono utilizzabili come credenziali EDUROAM permettendo all'utente di utilizzare in tutto il mondo le reti wireless delle istituzioni aderenti alla federazione EDUROAM.

    Queste credenziali sono rilasciate dall'amministratore di istituto presente in area a persone afferenti all'istituto stesso; non hanno scadenza e permettono di accedere a tutte le reti wireless presenti nell'area della ricerca.

    Si tenga presente che bisogna sempre digitare username nella sua interezza e non solamente la parte id.

  2. temporanee
    Queste credenziali sono pensate per persone temporaneamente presenti nell'Area della Ricerca di Padova e hanno come username una stringa di 9 cifre.

    Possono essere rilasciate da un qualunque utente con credenziali ADRPD permanenti e il loro primo utilizzo deve avvenire entro 3 giorni dalla data di rilascio pena la cancellazione. Trascorsi 30 giorni dal loro primo utilizzo vengono disattivate e infine rimosse se non vengono rinnovate nei 30 giorni successivi dall'utente ADRPD che le ha rilasciate; l'ospite può richiedere una nuova password attraverso il portale di autenticazione della rete wireless adr_guest.


Reti wireless

Nelle zone dell'Area della Ricerca di Padova in cui è attivo il servizio wireless (aree colorate nella mappa)

sono disponibili le seguenti reti:

La rete adr_wifi fornisce ad ogni dispositivo collegato un indirizzo IP della rete associata all'istituto definito nelle credenziali utilizzate per l'autenticazione permettendo all'utente di accedere a tutte le risorse presenti nella rete di istituto. Può fornire connettività IPv6 se presente nella rete di istituto.

Le reti eduroam-adr e adr_guest utilizzano indirizzi IPv4 globali, non permettono connettività IPv6 e vi sono alcune limitazioni nei protocolli di rete.


Connessione alla rete adr_guest


In questa sezione si descrive la procedura che un utente deve seguire per potersi collegare alla rete internet attraverso la rete wireless adr_guest.

Collegamento iniziale

L'utente deve scegliere la rete wireless adr_guest, attivare un browser WWW e accedere ad un sito qualsiasi per iniziare la procedura di autenticazione gestita via web.

Se il browser WWW ha la funzionalità javascript abilitata alcuni passi della procedura verranno gestititi automaticamente dal bowser stesso attraverso una ridirezione, mentre se tale funzionalità risulta disabilitata l'utente dovrà eseguirli manualmente quando richiesto.

Alla richiesta di un qualunque sito, in maniera automatica se javascript è abilitato o manualmente attraverso la pagina seguente se disabilitato:



si viene indirizzati alla pagina di scelta del tipo di autenticazione che si desidera eseguire:



Questa pagina visualizza l'indirizzo IP assegnato al nodo e il suo indirizzo MAC e permette di accedere alla descrizione del servizio (link WiFi@PdCNR service) e alle condizioni d'uso del servizio stesso (link Terms of Service) che si intedono implicitamente accettate dall'utente qualora l'utente esegua venga autenticato con successo.

Se l'utente ha credenziali fornite dall'Area della Ricerca di Padova oppure dal CNR di Roma sceglie la prima possibilità, se è un ospite dall'Area della Ricerca di Padova con credenziali temporanee sceglie la seconda, mentre se appartiene ad una istituzione afferente alla federazione GARR IDEM la terza.


Indipendente dalla modalità scelta alla fine del processo di autenticazione, se le credenziali risulteranno corrette, si ottiene la seguente pagina che indica all'utente l'abilitazione all'accesso alla rete:



L'utente può ora continuare la navigazione web e/o utilizzare gli altri protocolli abilitati sulla rete adr_guest



Autenticazione CNR

Una volta scelta l'autenticazione CNR viene presentata la seguente pagina



Se l'utente è già in possesso di credenziali, username e password, fornite dall'Area della Ricerca di Padova oppure dal CNR di Roma può digitarle nei due campi Username: e Password: e inviarle con il pulsante Login.


Se javascript non è abilitato nel browser appare la pagina seguente, dove ovviamente si deve attivare il link click here per continuare con la procedura di autenticazione:




Se il sistema dovesse continuare a rifiutare l'accesso anche in presenza di credenziali ritenute corrette, rivolgersi al proprio referente d'istituto.


Autenticazione ospiti


Ospiti dell'Area della Ricerca di Padova in possesso di credenziali temporanee (userID numerico/password) devono scegliere questa modalità di autenticazione.
Nella form



l'ospite deve introdurre le proprie credenziali nei campi User ID e Password e premere Login per attivare il processo di autenticazione.


Attraverso questa form è possibile richiedere una nuova password.


Autenticazione IDEM

Un ospite presente nell'Area del Ricerca di Padova che abbia un account presso una qualunque istituzione afferente alla federazione GARR IDEM, può utilizzare questa modalità di autenticazione per accedere alla rete internet.

Attraverso il pulsante “IDEM authentication” l'utente viene indirizzato su un server gestito dal GARR che gli presenta la seguente (o similare) pagina




dove deve scegliere il server relativo alla propria istituzione di appartenenza attraverso il menu presente nella pagina stessa.

Una volta fatta questa scelta premendo il pulsante “select” il browser viene indirizzato sulla pagina di autenticazione relativa alla propria istituzione (ad esempio Cineca come mostrato nella figura seguente:):






A questo punto l'utente deve introdurre le credenziali di accesso relative all'account che ha presso tale istituzione e, se sono corrette, ottiene l'autorizzazione all'accesso alla rete attraverso il servizio WiFi@PdCNR.

Nel caso sia errate o inesistenti, riceve un messaggio di errore direttamente dal server di autenticazione della propria istituzione di appartenenza. Se le credenziali continuano ad essere rifiutate, l'utente deve contattare la propria istituzione e non l'Area della Ricerca di Padova dato che i server di autenticazione relativi alla federazione IDEM non sono gestiti dall'area stessa.


Connessione alle reti adr_wifi e eduroam-adr


La modalità di collegamento a queste due reti sono simili. Inoltre utenti con credenziali AdRPD devono usarle nella forma per accedere alla rete eduroam-adr.


Caratteristiche tecniche per la configurazione dei nodi wireless:


Key_mgmt

Eap

Authentication

WPA-EAP

PEAP o TTLS

MSCHAPV2



Di seguito vengono riportate le procedure di configurazione per alcuni dei sistemi operativi più diffusi. Le procedure descritte sono relative alla rete adr_wifi, che va letto come eduroam-adr nel caso dell'altra rete.



Windows XP e service pack 2

Versioni successive dovrebbero supportare l'autenticazione WPA richiesta dalla rete adr_wifi. Il Service Pack 1 senza l'update specifico sembra supportare solo WEP e non WPA.

Andare nel Pannello di controllo e scegliere "Connessioni di rete" oppure nella tray area (la parte a destra della barra di Windows; quella con le icone piccole: a volte e' necessario cliccare sulla freccia verso sinistra) cliccare sull'icona wifi col tasto destro e scegliere "Apri connessioni di rete":



ed infine passare alla scheda "Autenticazione" cliccando sul suo nome

ed infine premere "Proprieta'"

ed infine premere "Configura..."

fare attenzione al popup "Connessione alla rete senza fili" (angolo inferiore destro dello schermo): cliccarci sopra prima che svanisca



lo stato "Identita' convalidante" non passa a "Tentativo di autenticazione in corso", "Acquisizione di indirizzo di rete" ed infine "Connesso" scegliete Disconnetti e premetete "Si"; a questo punto riprovate con "Connetti" e seguite il punto precedente



Sistemi Mac OS X















Linux


Procedura relativa a Ubuntu 10.4





Android


EAP methodPhase 2 authenticationCA certificateUser certificate
PEAP o TTLSMSCHAPv2UnspecifiedUnspecified


Versioni provate:


Gestione utenti ADRPD

Utenti in possesso di credenziali ADRPD permanenti possono solo visualizzare i dati relativi al proprio account, richiedere o disattivare credenziali ADRPD temporanee per ospiti e modificare la password di accesso al servizio. Per modificare qualunque altro dato l'utente deve rivolgersi all'amministratore del proprio dominio.

Queste funzionalità sono gestite da un servizio web raggiungibile seguendo i link Gestione del servizio e Utente a partire dal sito https://wifi.pd.cnr.it. con cui si interagisce utilizzando la seguente form:



Visualizzazione dati utente

Per visualizzare i propri dati l'utente, dopo aver introdotto le proprie credenziali di accesso nei campi Username e Password come mostrato nella figura seguente relativa ad un ipotetico utente testone@adr:



invia la richiesta premendo il bottone “Visualizza dati utente”.

A questo punto verrà visualizzata una pagina contenente i dati relativi all'utente:



dove vengono mostrati i seguenti dati:

  1. la username

  2. gli alias utilizzabili come username

  3. il nome dell'utente o una descrizione dell'account

  4. l'indirizzo di e-mail con cui si può contattare l'utente associato all'account

  5. la data di scadenza dell'account; dopo tale data l'account potrà essere cancellato in qualunque momento

  6. l'elenco dei dispositivi mobili associati all'utente

  7. l'elenco delle credenziali per ospiti associate all'utente


Modifica password di accesso


Per modificare la propria password l'utente, oltre ad introdurre la login e la password corrente, deve digitare la nuova password nei campi “New password” e “New password (retype)”



ed attivare la procedura di modifca premendo il bottone “Set password”. Se la nuova password soddisfa i requisiti descritti sotto la form, il sistema provvede a cambiare la password e fornisce un pagina di conferma, simile a quella mostrata in figura, altrimenti segnala un errore e la password non viene modificata.





Registrazione dispositivo wireless


Per abilitare un dispositivo mobile ad accedere alla rete adr_wifi si deve fornire l'indirizzo MAC della scheda di rete wireless al proprio referente di istituto che provvederà a registralo.

L'indirizzo MAC della scheda di rete wireless si può ottenere mediante le procedure specifiche per il sistema operativo utilizzato dal dispostivo mobile oppure, più facilmente, seguendo i seguenti passi:




Richiesta/Riattivazione credenziali per ospite


Un qualunque utente può richiedere credenziali temporanee per un proprio ospite compilando la parte della form relativa ai dati dell'ospite (nome e cognome, numero di telefono personale, email e eventuali note), come mostrato nella figura seguente:



Premendo il pulsante "Genera ID ospite" si viene indirizzati su una pagina di conferma dei dati dell'ospite:



dove è possibile utilizzare il pulsante "CONFERMA DATI OSPITE" per ottenere le credenziali temporanee che l'ospite può utilizzare per collegarsi a internet attraverso la rete wireless adr_guest:



Il primo utilizzo delle credenziali per ospiti deve avvenire entro 3 giorni dalla data di rilascio pena la loro cancellazione. Trascorsi 30 giorni dal loro primo utilizzo vengono disattivate e infine rimosse se non vengono rinnovate nei 30 giorni successivi dall'utente che le ha rilasciate.


Per il rinnovo si deve utilizzare il numero di telefono associato all'ospite compilando l'apposito campo presente nella form come mostrato nella figura seguente:



Con il pulsante "Rinnova ID ospite" si rinnovano le credenziali ottendendo una nuova password e una nuova data di scadenza per il primo utilizzo:



Ad ogni richiesta o riattivazione viene inviata una mail all'ospite contenente la password e la data di scandenza.


Gestione ospiti ADRPD

Ospiti dell'Area della Ricerca di Padova in possesso di credenziali temporanee (userID numerico/password) possono cambiare la propria password di accesso.

Richiesta nuova password di accesso

Per richiedere una nuova password l'ospite deve collegarsi alla rete adr_guest nella modalità descritta precedentemente, ed invece di effettuare il login per abilitare l'accesso alla rete internet, utilizzare il pulsante "Change password" dopo aver aver riempito tutti e tre i campi presenti nella form: user ID, Password e Phone.

La nuova password viene mostrata nel browser come in figura



e inviata via email all'indirizzo di mail associato all'ospite.