Veel overheidsorganisaties zijn inmiddels aangesloten op de govroamdienst ‘govguest’. Daarmee bieden zij hun bezoekers veilige wifi. Na de introductie van govguest ontvingen we bij onze support-afdeling verschillende vragen over govguest, die we hier graag met u delen.
Hoe kan mijn organisatie voorkomen dat onze gasten elders online kunnen komen?
Niet elke organisatie stelt het op prijs dat de gastaccounts die ze verstrekt ook elders gebruikt kunnen worden. In dat geval kan in overleg het ‘operator’-filter ingezet worden. Dat houdt in dat alleen de gastaccounts die door de organisatie zelf verstrekt zijn online mogen komen, als ze zich ook daadwerkelijk in het wifi-netwerk van die organisatie bevinden. De govroam RADIUS-servers filteren dan op de ‘operator’-naam van de betreffende organisatie. Belangrijk om te weten: dit werkt twee kanten op, want ook gasten van andere organisaties kunnen dan niet meer online komen in uw organisatie. Hierover meer in de volgende paragraaf.
Hoe kan mijn organisatie voorkomen dat gasten van elders bij ons online kunnen komen?
Deze vraag bereikt ons geregeld. govguest is afgeleid van de gelijksoortige dienst bij eduroam, daar speelt deze vraag niet; gasten uit de hele wereld zijn welkom. Het beleid voor de inzet van govguest moest daarom aangescherpt worden. In de software is hier een oplossing voor aangebracht en over de wijze van inzet is overleg gevoerd met zowel een aantal actieve deelnemers als het bestuur van Stichting govroam.
De uitkomst van deze gesprekken is dat hier het ‘operator’-filter ingezet kan worden indien de deelnemer dat wenst. Wanneer een gast (niet zijnde een ambtenaar met een govroam account) probeert op wifi te komen, controleren de RADIUS-servers of dat verzoek uit het wifi-netwerk (onder de motorkap de ‘operator’) van de organisatie komt die het gastaccount verstrekt heeft. De verzoeken van andere gasten worden gefilterd zodat zij daar niet online kunnen komen. Dit mechanisme houdt automatisch in, dat gasten van de organisatie zelf ook niet elders online kunnen komen (zie vorige paragraaf). Hun wifi-logins komen dan immers van een andere ‘operator’.
Overlappende wifi-netwerken en samenwerkingen
Met elke mogelijkheid om een dienst in te perken ontstaan tegelijk nieuwe hindernissen. Want wat gebeurt er bijvoorbeeld als twee organisaties in hetzelfde pand of aangrenzende locaties zitten, govguest inzetten en de filter-optie willen activeren? Dan kan het voorkomen dat de gasten van de ene organisatie op het wifi-netwerk van de andere organisatie online proberen te komen, wat vervolgens niet lukt. Vaak hebben deze gasten geen idee waarom ze niet online kunnen, omdat hun apparaat zichzelf probeert aan te melden op het sterkste wifi-access point dat ‘govroam’ uitzendt. Ook al is dat van een andere organisatie.
Een vergelijkbare uitdaging dient zich aan wanneer in een gebouw één wifi-netwerk beheerd wordt door een organisatie die de govguest-filtering wil hanteren, maar er ook andere organisaties met govguest op die locatie gehuisvest zijn. Hun gasten kunnen dan niet in dat gebouw online komen.
Daarom wil stichting govroam in dergelijke gevallen als voorwaarde stellen, dat de betreffende organisaties zich maximaal inzetten om de govroam-beleving zo consistent en transparant mogelijk te maken. Zodra deze organisaties daarover onderling overeenstemming hebben bereikt, helpt de Stichting govroam daar uiteraard graag bij.
Meer geavanceerde mogelijkheden
Met een aantal deelnemers binnen de Rijksoverheid werkt govroam aan een technische invulling om een indicatie mee te geven van de thuisorganisatie van een gast. Uiteraard zijn gastaccounts geanonimiseerd, waardoor geen onnodige persoonlijke informatie over de lijn gaat. Dat blijft zo, maar er kan in theorie wel een organisatienaam in RADIUS worden meegestuurd. Dat is bij ambtenaren-logins natuurlijk altijd al het geval, omdat zij hun eigen inlog-‘domein’ gebruiken (bijvoorbeeld ‘xyz123@minvenj.nl’), maar alle govguest gasten hebben hetzelfde RADIUS-realm (namelijk ‘@govguest’). Met een dergelijke indicatie kan elke organisatie zelf bepalen hoe ze met gasten van elders omgaat.