PEAP 802.1x-tunnistuksen toteutus RADIUS-palvelimeen

Valimo iDServer -tunnistuspalvelin on ohjelmisto, joka tukee eri käyttäjientunnistusmenetelmiä, kuten tekstiviestillä lähetettävää kertakäyttösalasanaa tai normaaliakäyttäjätunnusta ja salasanaa. Tässä diplomityössä kuvataan, kuinka palvelimeenon lisätty tuki käyttäjien kirjautumiselle langattoman verkon tukiasemien ja virtuaalilähiverkkoa tukevien kytkinten kautta käyttäen normaaleja Windows-käyttöjärjestelmän mukana tulevia asiakasohjelmistoja. Työn ensimmäisessä vaiheessa kuvataan lähtökohdat ja vaatimukset tulevalle järjestelmälle. Työn osana käytännössä tehty kokonaisuus muodostuu useista eri määrityksistä koostuvista osista. Työn toisessa vaiheessa käydään läpi korkealla tasolla sovelluksen vaatimat protokollat. Osana näihin protokolliin kuului erilaisten avainten jatarkisteiden laskenta sekä salausmenetelmien käyttö, jotka myös kuvataan tässä työssä. Viimeisessä kappaleessa analysoidaan työn tuloksia jakäydään läpi toteutukseen ja itse sovelluksen toimintaan liittyvät ongelmat. Suurin osa havaituista ongelmista liittyi tilanteisiin, joihin itse palvelinsovelluksen toteutuksella ei voitu vaikuttaa. Eniten ongelmia aiheuttivat asiakasohjelmiston sekä verkkokorttien ja niiden ajureiden toiminta ongelmatilanteissa. Asiakasohjelmistoa ei selkeästi ole suunniteltu käytettäväksi kuin muuttumattomien salasanojen kanssa, koska käyttäjän näkökulmasta käyttökokemus ei ollut optimaalinen. Ongelmista huolimatta työn tuloksena saatiin asiakkaan vaatimukset täyttävä järjestelmä. Myös tuotekehitysnäkökulmasta projektia voitaneen pitää onnistuneena, koska nyt tehty sovellus luo pohjan uusien tunnistustapojen ja menetelmien toteuttamiselle tuotteen jatkokehitystä ajatellen.

Valimo iDServer authentication server is a centralized user management system which supports different methods to authenticate users such asone-time-password and normal username and password. This thesis describes the work that was done to add support for the authentication of users from VLAN- and WLAN switches using standard Windows clients. The first part of the work describes the existing system as well as customer's requirements forthe system that will be built. For the server implementation many different specifications had to be followed and combined to form a single working system. Thesecond part of the work describes these specifications in more detail. In addition, the generation of required cryptographic keys, encryption algorithms and message authenticators that were used in different parts of the software are described in this part of the work. Also, results of the work areanalyzed and possible problems and reasons for them are described. Most of the problems were caused by the Windows client software or network interface driversand could not be solved on the server side of the system. Different network cards, their respective drivers and client software worked differently in differentsituations. Also user experience was sub-optimal - it is clear that the Windowsnetwork login client was not originally designed to be used with one-time-passwords. Regardless of the problems encountered, the result of this project is that the Valimo iDServer software was successfully modified to include the new features in a manner that satisfied the customer's needs. Also this can be considered successful from a product development perspective, because the created code and authentication methods can be extended to support otheradvanced authentication methods with significantly less work.