govroam configureren voor eindgebruikerscertificaten

Het eigen gebruik van certificaten is een van de mogelijke oplossingen om gebruikerstoegang tot govroam te regelen (de ‘Identity Provider’ ofwel ‘IdP’-rol). Voor een uitgebreider overzicht van de mogelijkheden, zie govroam opties voor gebruikersaccounts (IdP) . In dit artikel gaan we uit van EAP-TLS als authenticatiemethoden met certificaten die door de organisatie zelf gegenereerd en gecontroleerd worden.

Als een MDM gebruikt wordt, kan het MDM-certificaat gebruikt worden voor wifi-toegang, of een specifiek certificaat gepusht worden voor wifi-toegang. In beide gevallen zijn de vereisten eenvoudig:

• de CN van de certificaten moeten eindigen op een voor ons bekend RADIUS realm (meestal DNS domein) en

• de certificaten moeten door de RADIUS server van de organisatie geverifieerd worden, inclusief een CRL-check

• de organisatie heeft een sluitende administratie die apparaat-certificaten relateert aan eindgebruikers, om de ‘chain of trust’ tot bij de eindgebruiker te kunnen sluiten.

In het algemeen is het zo dat govroam 2e-lijns support biedt en geen zicht heeft op de enorme diversiteit aan hardware-endpoints, OS-en, softwareversies en policies die bij de honderden aangesloten organisaties zijn aangesloten. Het is ondoenlijk om een 'lab' in te richten waar we voor al deze mogelijke combinaties van systemen (en voor alle versies in omloop) de oplossingen kunnen bieden, we gaan er van uit dat de IT-afdeling of leverancier de eigen IT-middelen en beveiligingsbeleid zelf beheerst.

Wel delen we graag informatie die we van organisaties vernemen over deze opzet (zie ook ons cookbook, waarvan we informatie beetje bij beetje overhevelen naar deze wiki). We vragen organisaties waarvan we vernemen dat ze deze opzet in gebruik hebben altijd om informatie met ons te delen zodat wij die ook weer kunnen delen op deze wiki. Tot nu toe hebben we die niet mogen ontvangen. Mocht jouw organisatie die willen delen, neem dan aub contact op met tech@govroam.nl