Änderungen im Bereich der RADIUS-Infrastruktur

RADIUS ist ein Protokoll zur Authentifizierung von Nutzern, das von verschiedenen Diensten des URZ genutzt wird. Dazu gehören unter anderem die VPN-Gateways und das WLAN eduroam, das mit deutlichem Abstand die meisten Anfragen an die Server stellt. Zu Spitzenzeiten sind über 4000 Geräte gleichzeitig in eduroam angemeldet.

Bis Anfang dieses Jahres betrieb des URZ zwei RADIUS-Server. Diesen war ein L4-Switch vorgeschaltet. Aufgrund der speziellen Eigenschaften des RADIUS-Protokolls schaltete dieser nur in einem Fail-Over-Modus zwischen beiden Servern um, ermöglichte also keine Lastverteilung.

Diagramm, das Authentifizierungen durch Radius-Server pro Zeit darstellt.
Anzahl der Authentifizierungen an einem Radius Server nach der Umstellung. Man kann die Lastspitzen zu Vorlesungsbeginn und -ende sehen.

Insbesondere zu Vorlesungsbeginn und -ende kam es auf dem aktiven Server zu starker Belastung, da sich viele Geräte gleichzeitig am WLAN anmelden wollten. Dies hat manchmal dazu geführt, dass die Antwortzeiten des Servers zu lang waren und in Folge davon die eduroam-Anmeldung nicht immer wie gewünscht funktioniert hat. Um die Lastsituation zu verbessern, wurde einerseits ein weiterer RADIUS-Server für die eigentliche Authentifizierung (Backend) in Betrieb genommen. Außerdem kommen nun zwei vorgeschaltete Server (Frontend) zum Einsatz. Die Klienten nutzen diese mittels der im Protokoll vorhandenen Redundanz-Mechanismen. Beide Frontend-Server sind so konfiguriert, dass sie eine Lastverteilung auf die drei Backend-Server ausführen.

Prinzipskizze Radiusstruktur
Prinzipskizze der Radiusinfrastruktur

Die beiden neuen RADIUS-Frontend-Server sind per Radsec an das DFN angebunden. Über die Server des DFN wird das Roaming im eduroam realisiert. Praktisch bedeutet dies, dass man als Nutzer der TU Chemnitz an nahezu allen Hochschulen weltweit WLAN nutzen kann und Nutzer anderer Hochschulen das WLAN der TU Chemnitz mit nutzen können. Die Umstellung auf Radsec verbessert die Sicherheit im eduroam-Verbund durch TLS-Verschlüsselung.

 

Schreibe einen Kommentar