Goede wifi moet voor alle ambtenaren een vanzelfsprekendheid zijn. Met hulp van govroam is dat zo vanzelfsprekend dat het inmiddels een bedrijfskritische voorziening in menig kantoorpand geworden is. In dit artikel waan we in op wat er nodig is om uw wifi-netwerk zo goed mogelijk te laten werken.

Om op professioneel wifi (zoals eduroam en govroam) in te loggen, zijn meerdere partijen allemaal tegelijk nodig om een goede werking te garanderen:

• de eindgebruiker

• de organisatie van de eindgebruiker, ofwel de Identity Provider (IdP)

• de eigenaar van het wifi-netwerk, ofwel de Service Provider (SP)

• de nationale roaming-dienst ‘govroam’, geleverd door stichting govroam

Onderstaand schema geeft de keten weer, vanaf de roamende ‘Ambtenaar A’ via Service provider ‘Organisatie B’ en door Stichting govroam verder geleid naar de thuisorganisatie van de ambtenaar, Identity Provider ‘Organisatie A’:

Open

De meeste organisaties zijn overigens zowel IdP als SP.

In deze keten moeten alle schakels voldoende sterk zijn. Gaat iets mis bij één schakel, dan kan de eindgebruiker govroam niet gebruiken. We merken dat de beleving van de gebruiker beïnvloed wordt door factoren die Stichting govroam niet zelf beheert. We zijn met zijn allen verantwoordelijk om de eindgebruiker optimaal te laten roamen. Helpt u mee?

De eindgebruiker

Zonder goede voorlichting weet een eindgebruiker vaak niet hoe te beginnen met het gebruik van govroam. Toegang tot internet is inmiddels een basisbehoefte waar een ambtenaar zich niet druk om wil en hoeft te maken. Creatieve eindgebruikers kiezen het govroam-netwerk op hun apparaat en worden geconfronteerd met een login scherm.

Ons bereiken geregeld rechtstreekse vragen van eindgebruikers die bijvoorbeeld niet bij een aangesloten organisatie werken of die zelf een creatieve inlogmethode uitproberen en zich dan afvragen waarom ‘govroam niet werkt’.

Voorlichting aan de eindgebruiker is cruciaal voor een goede gebruikersbeleving. Stichting govroam kan eenvoudigweg geen generieke voorlichting verzorgen omdat elke organisatie op een andere manier de toegang regelt, en daarom leveren we 2e-lijns ondersteuning voor de IT-afdelingen van de aangesloten organisaties.

De organisatie van de eindgebruiker: de Identity Provider

De eigen organisatie van de ambtenaar bepaalt of toegang tot govroam is toegestaan, en op welke manier. Deze ‘IdP’ beheert dus het account van de eindgebruiker. Dat kan op allerlei manieren: met

• een AD-account,

• een op zichzelf staand wifi-account,

• een certificaat,

• getgovroam etc.

 voor een uitgebreider overzicht, zie het wiki-artikel over govroam opties voor gebruikersaccounts (IdP)

Om de eindgebruiker op gang te helpen, moet de eigen organisatie op zijn minst voorlichting geven over:

• is de organisatie aangesloten op govroam? Dat moet duidelijk zijn in het overzicht van geboden diensten.

• op welke manier de eindgebruiker een login verkrijgt: binnen de organisatie? Met het AD-account? Via een intranet-pagina? Via getgovroam? Licht goed toe welke keuze de organisatie gemaakt heeft.

• handleidingen. Deze verschillen per organisatie, afhankelijk van het vorige punt. Bovendien zijn ze in een organisatie-specifiek sjabloon en vormgeving opgesteld.

• welke dienstverlening de eindgebruiker mag verwachten. In de basis is dat: bruikbare toegang tot internet. Sommige organisaties bieden ook toegang tot ‘interne’ bronnen zoals printers, maar dat zal buiten de deur niet het geval zijn.

• waar de eindgebruiker terecht kan met vragen en klachten, namelijk de IT-helpdesk van de eigen organisatie, ook als de eindgebruiker zich elders bevindt

• welke informatie de eindgebruiker dan moet aanleveren, zoals precieze tijdstip, en schermafdrukken

• hoe gastgebruikers toegang kunnen krijgen, bijvoorbeeld op basis van govguest

Wanneer een gebruiker een klacht heeft, is goede 1e-lijns triage van belang.

• Heeft de eindgebruiker de juiste inloggegevens gebruikt?

  • juiste en geldige gebruikersnaam en wachtwoord of certificaat.

  • juiste outer authenticatie

  • juiste RADIUS-servercertificaat en het domein daarvan (wanneer dat afwijkt van het domein van de gebruikersnaam)

• Vraag de eindgebruiker altijd naar het precieze moment en locatie (organisatie waar het probleem zich voordeed) en om screenshots, gebruikte operating system en versie, en versienummer van gebruikte app(s)

• Bepaal hoeveel gebruikers last hebben van hetzelfde fenomeen. Als het een of enkele gebruikers betreft, is de kans groot dat de gebruiker hulp nodig heeft bij het configureren van het account.

• Bepaal gemeenschappelijke kenmerken van het probleem als een grote groep gebruikers hetzelfde probleem ervaart: gebeurt het op dezelfde locatie? Rond hetzelfde moment? Bij gebruikers die tot een bepaald domein behoren? Bij een specifiek type apparaat of OS-versie?

• Controleer in de eigen infrastructuur, met name RADIUS server(s), of daar te zien is of de authenticatie aangekomen is en juist is afgewikkeld

• Controleer netwerkaspecten die niet meteen betrekking hebben op govroam, maar ook een probleem kunnen zijn, zoals DHCP, DNS, firewalls etc. Zie ook ons eerdere artikel over netwerkvalkuilen.

• Controleer of Mobile Device Management met (nieuw) beveiligingsbeleid zorgt voor problemen zoals het beperken van rechten voor het gebruik van wifi (inclusief locatiebepaling), rechten voor apps et cetera.

• Is het een gast met een govguest-wifi-account? Bedenk dat sommige organisaties niet toestaan dat dergelijke wifi-gastaccounts bij hen niet online mogen komen. Vraag dus bij welke organisatie de gastgebruiker het wifi-account heeft verkregen.

Mocht alles in orde zijn aan de IdP-zijde en de problemen zich concentreren bij specifieke locaties, dan moet doorverwezen worden naar de helpdesk van de wifi-leverancier (de Service Provider). Bedenk dat sommige organisaties volledig afhankelijk zijn van het govroam-wifi van een andere organisatie. Die dient dus ook voor de roamende gasten een zichtbare en deskundige helpdesk bieden.

Het wifi-netwerk van de Service Provider

De Service Provider is verantwoordelijk om het (wifi-) netwerk goed te laten functioneren, inclusief alle daarbij benodigde bouwstenen:

• wifi-dekking

• werkende basisvoorzieningen zoals DHCP, DNS

• voldoende bandbreedte

• open toegang tot internet

• goed werkende RADIUS-verbinding

Let op: govroam kan ook bedraad worden aangeboden. De fysieke netwerkaansluiting valt ook onder de service van de Service Provider.

Mocht een probleem terug te voeren zijn op de inrichting van het wifi- (of bedrade) netwerk, dan hebben we al eerder tips verstrekt voor het voorkomen en verhelpen van netwerkvalkuilen. Met name UDP-fragmentatie is een actueel thema dat steeds vaker in het oog springt (zie artikel over UDP-fragmentatie) en dat problemen veroorzaakt op de RADIUS-verbinding.

Roamen via Stichting govroam

Om roamen tussen de verschillende wifi-netwerkaanbieders van govroam mogelijk te maken, biedt Stichting govroam de landelijke RADIUS-dienst. Deze routeert de authenticatieverzoeken vanuit wifi-netwerken naar de juiste IdP.

Zelf kunnen we niet in de RADIUS berichten de logingegevens zien, deze worden versleuteld getransporteerd in een (EAP) tunnel tussen het apparaat van de gebruiker en de RADIUS server(s) van de eigen organisatie.

Wanneer de getgovroam-dienst gebruikt wordt, dan authentiseert de gebruiker zich indirect bij de getgovroam-dienst, die onderdeel is van onze landelijke infrastructuur. Zelfs als de eindgebruiker zich in het netwerk van de eigen organisatie bevindt.

2e-lijns govroam support

Om vragen te beantwoorden en problemen op te lossen die bij de 1^e-lijns ondersteuning van de aangesloten organisaties niet ondervangen zijn, bieden we 2^e-lijns ondersteuning. Dat zijn dus per definitie vraagstukken die meerdere gebruikers tegelijk raken.

Stichting govroam wordt vaak benaderd bij het storingzoeken. Wij kunnen veel betekenen als zich een structureel probleem voordoet met grote hoeveelheden authenticaties. Wat blijkt? Individuele gevallen zijn vrijwel altijd terug te voeren op incorrect gebruik of een probleem met het account bij de thuisorganisatie. Die moeten dan ook daar worden opgepakt. Stichting govroam heeft namelijk slechts beperkte onderzoeksmogelijkheden, want kan bijvoorbeeld niet ‘achter de voordeur’ kijken of het wifi-netwerk of het account goed geconfigureerd is. De accountgegevens liggen altijd bij de IdP.

Voor vragen aan onze 2^e-lijn hebben wij minstens de volgende informatie nodig:

• welke groep gebruikers heeft last hebben van hetzelfde fenomeen? Wat zijn hun gemeenschappelijke kenmerken, zoals het aanmeld-domein (‘realm’) dat ze gebruiken?

• minstens enkele representatieve

  • tijdstippen met datum,

  • locaties/organisatie waar de wifi door geleverd wordt,

  • outer-authentication username

  • screenshots,

  • gebruikte operating system en versie, en

  • versienummer van gebruikte app(s)

• relevante logging uit de RADIUS server(s) van de organisatie

• packet-dumps van het RADIUS verkeer op de ‘rand’ van het netwerk

Een sterke keten

Omdat we als Stichting govroam ons verantwoordelijk voelen voor de reputatie van de dienst, willen we graag de aangesloten organisaties wijzen op hun rol en ook bijstaan om alle schakels in de keten goed te laten functioneren. De inrichting van de landelijke infrastructuur heeft 10 jaar zonder onderbrekingen 24/7 gefunctioneerd en bleek slechts in een zeer extreem geval enige hinder te ondervinden. Omdat we daarvan weer geleerd hebben, hebben we het volste vertrouwen in de volgende 10 jaar, en daar zetten we de schouders onder met onze partners.

Alleen samen kunnen we voor een prettige gebruikerservaring zorgen.