Eduroam
Eduroam je projekt, který spočívá v tom, že se řada institucí domluví na tom, že pro své členy bude zajišťovat WiFi připojení tím způsobem, že registrace uživatele v jedné (mateřské) instituci mu umožní se připojit i prostřednictvím přípojných bodů ostatních institucí – analogickým způsobem, jako pracuje např. roaming mezi různými mobilními operátory. To podpoří mobilitu všech uživatelů. V praxi to znamená např. to, že student Karlovy univerzity může mít konektivitu i při návštěvě některé fakulty ČVUT, neboť obě instutuce jsou připojeny k Eduroamu; podobně třeba při návštěvě Brna či Plzně může využívat připojení přes Masarykovu či Západočeskou univerzitu atd. (viz Seznam připojených institucí)
Kromě připojení jako takového musí Eduroam zajišťovat i bezpečnost takového připojení, a v tom možná tkví i občasné problémy a nespokojenost uživatelů s jinak dobrou myšlenkou.
Získání účtu (přístupu) do sítě Eduroam
[editovat]Každá ze zúčastněných stran si může řešit přidělování accountů a přístupových hesel pro své uživatele svým vlastním mechanismem. Níže uvedeme několik příkladů:
Student Karlovy univerzity
[editovat]Všichni studenti Karlovy univerzity (pregraduální i postgraduální) využívají centrální autentifikační služby http://ldap.cuni.cz, ke které získají vstup (identifikační číslo a iniciální heslo) při vydání studentského průkazu. V rámci této služby si mohou nastavit i svoje přístupové heslo do Eduroamu.
Certifikace
[editovat]Eduroam je zaštiťován sdružením CESNET z. s. p. o., který zde funguje jakožto certifikační autorita a tím pádem je potřeba si stáhnout z jeho stránek příslušné kořenové certifikáty:
- http://www.cesnet.cz/pki/certs/ – adresář s certifikáty CESNETu
- http://www.cesnet.cz/pki/certs/cesnet-ca.cz.pem.crt – příslušný certifikát (formát CRT)
Je dobré zkontrolovat fingerprint:
openssl x509 -in cesnet-ca.cz.pem.crt -noout -fingerprint
Některý software má problém s formátem CRT, proto můžeme certifikát přeložit do formátu DER:
openssl x509 -in cesnet-ca.cz.pem.crt -out cesnet-ca.cz.pem.der -outform DER
Pozor – od srpna 2011 došlo ke změně certifikačních autorit, neboť CESNET CA zanikla http://uvt.cuni.cz/UVT-458.html Nyní např. radius servery domény cuni používají certifikátu TERENA SSL CA (TCS); Tato CA má svůj certifikát podepsaný globálně akceptovanou certifikační autoritou UTN-USERFirst-Hardware společnosti Comodo. SHA1 otisk jejího certifikátu je: 04:83:ED:33:99:AC:36:08:05:87:22:ED:BC:5E:46:00:E3:BE:F9:D7
RADIUS
[editovat]Viz w:RADIUS
Realm
[editovat]Základní myšlenka je ta, aby z přístupového jména uživatele byla vidět jeho příslušnost k té které mateřské instituci, prostřednictvím jejíž autentifikace přistupuje k Eduroamu. To se prakticky řeší tím, že uživatelské jméno (login) sestává ze dvou částí: první je identifikace uživatele v rámci té které organizace, pak následuje zavináč @ a po něm druhá část, nazvaná realm. Např:
instituce | realm |
---|---|
CESNET | @cesnet.cz |
Univerzita Karlova | @cuni.cz |
Nastavení parametrů přístupu
[editovat]- Bezdrátová:
- SSID: eduroam
- Režim: Infrastruktura
- BSSID:
- Adresa MAC:
- MTU: automatické
- Bezdrátové zabezpečení (Wireless Security):
- Zabezpečení (Security): WPA & WPA2 Enterprise
- Ověření (Authentication): Protected EAP (PEAP) (někde se radí Tunneled TLS)
- Anonymní identita (Anonymous Identity):
- Certifikát CA (CA Certificate): cesnet-ca.cz.der
- Verze PEAP (PEAP Version): Verze 0
- Vnitřní ověření (Inner Authentication): MSCHAPv2
- Uživatelské jméno (User Name): mujlogin@muj.realm
- Heslo (Password): Mojeheslo
- Nastavení IPv4
- Metoda: Automaticky (DHCP)
Občas se vyskytují problémy, např. po chvíli připojování se pokaždé znovu a znovu objeví okno "K bezdrátové síti je vyžadováno ověření".
Připojování Network Manager loguje do /var/log/messages
Jan 13 14:29:02 mi kernel: [ 561.549226] Linux kernel driver for RTL8180 / RTL8185 based WLAN cards
Jan 13 14:29:02 mi kernel: [ 561.549237] Copyright (c) 2004-2005, Andrea Merello
Jan 13 14:29:02 mi kernel: [ 561.549242] rtl8180: Initializing module
Jan 13 14:29:02 mi kernel: [ 561.549246] rtl8180: Wireless extensions version 22
Jan 13 14:29:02 mi kernel: [ 561.549250] rtl8180: Initializing proc filesystem
Jan 13 14:29:02 mi kernel: [ 561.549325] rtl8180: Configuring chip resources
Jan 13 14:29:02 mi kernel: [ 561.549353] ACPI: PCI Interrupt 0000:02:00.0[A] -> GSI 17 (level, low) -> IRQ 17
Jan 13 14:29:02 mi kernel: [ 561.555298] rtl8180: Channel plan is 2
Jan 13 14:29:02 mi kernel: [ 561.555302]
Jan 13 14:29:02 mi kernel: [ 561.555313] Dot11d_Init()
Jan 13 14:29:02 mi kernel: [ 561.555322] rtl8180: MAC controller is a RTL8187SE b/g
Jan 13 14:29:02 mi kernel: [ 561.555326] rtl8180: This is a PCI NIC
Jan 13 14:29:02 mi kernel: [ 561.557729] rtl8180: usValue is 0x100
Jan 13 14:29:02 mi kernel: [ 561.557731]
Jan 13 14:29:02 mi kernel: [ 561.612443] rtl8180: EEPROM version 104
Jan 13 14:29:02 mi kernel: [ 561.617218] rtl8180: WW:**PLEASE** REPORT SUCCESSFUL/UNSUCCESSFUL TO Realtek!
Jan 13 14:29:02 mi kernel: [ 561.617835] rtl8180: IRQ 17
Jan 13 14:29:02 mi kernel: [ 561.619873] rtl8180: Driver probe completed
Jan 13 14:29:02 mi kernel: [ 561.619879]
...
Jan 13 14:29:02 mi kernel: [ 561.619879]
Jan 13 14:29:07 mi kernel: [ 565.563575] rtl8180: Bringing up iface
Jan 13 14:29:07 mi kernel: [ 565.762195] rtl8180: Card successfully reset
Jan 13 14:29:07 mi kernel: [ 566.499945] rtl8180: WIRELESS_MODE_G
Jan 13 14:29:07 mi kernel: [ 566.499952]
...
Jan 13 14:29:07 mi kernel: [ 566.518344] ADDRCONF(NETDEV_UP): wlan0: link is not ready
...
Jan 13 14:30:59 mi kernel: [ 592.506159] rtl8180: Setting SW wep key
Linking with eduroam: channel is 1
Linking with eduroam: channel is 1
In rtl8180_set_chan: Invalid chnanel 156
Linking with eduroam: channel is 1
Linking with eduroam: channel is 1
Linking with eduroam: channel is 1
- Použít šifrování: PEAP with TKIP/MSCHAPV2
- Cesta k cert CA: /cesta/k/certifikátu/UVT-458-version1-UTN.cer
Zdroje
[editovat]- Michal Švec (2009-02-09):EDUROAM a Wicd Manager
Win XP
[editovat]- certifikát http://uvt.cuni.cz/UVT-89-version1-cca_cer.cer
- Start -> Připojit -> Zobrazit všechna připojení
- pravý klik na Bezdrátové připojení k síti -> Vlastnosti
- bezdrátové sítě, vybrat eduroam (musíme být na signálu), Vlastnosti
- tab Přidružení:
- Ověření v síti: WPA
- Šifrování dat: TKIP
- tab Ověřování:
- Typ protokolu EAP: PEAP (Protected EAP)
- Vlastnosti -> okno: Chráněné vlastnosti protokolu EAP
- Pro připojení: Ověřit certifikát serveru
- Vybrat certifikát CESNET CA
- zaškrtnout: Nezobrazovat výzvu k ověření nových serverů nebo důvěryhodných certifikačních úřadů.
- Vyberte metodu ověřování: Zabezpečené heslo (EAP-MSCHAP v2)
- Povolit rychlé obnovení připojení
- Konfigurovat:
- Automaticky použít přihlašovací jméno ... atd: musí být NEZEŠKRTNUTÉ
- Jestliže je dostupná síť, ukáže se ikonka k autentifikaci (login = 12345678@cuni.cz, heslo)
MIUI (13.0.7)
[editovat]- Stáhnou certifikát: https://uvt.cuni.cz/UVT-89-version1-digicert_assured_id_root_ca.cer
- Instalace certifikátu: Nastavení - Wi-Fi - Další nastavení - Nainstalovat certifikáty - (označit) - Vybrat - (pojmenovat)
- Nastavení parametrů: pustit wifi - vybrat Eduroam - rozšířené možnosti:
- Metoda EAP: PEAP
- Ověření Phase 2: MSCHAPV2
- Certifiát: (vybrat název z kroku (pojmenovat))
- Stav online certifikátu: - (neověřovat)
- Doména:
- Ochrana soukromí: Použít randomizovaný MAC
- Identita: můžete si zobrazit v CAS (bývá ve formátu osobní číslo@doména.cz, například číslo@cuni.cz)
- Anonymní identita: -
- Heslo: vaše heslo (můžete si zobrazit v CAS)
Některé přístupové body
[editovat]1. lékařská fakulta UK v Praze
[editovat]- Institute of Biochemistry and Experimental Oncology 1.LF UK
- U nemocnice 478/5, Praha 2
- essid: eduroam
- Ověření v síti: WPA + Šifrování dat: TKIP
- konektivita: WiFi; IPv4; FW + NAT + žádná proxy
- How to connect your computer to the Wi-Fi network Eduroam
Odkazy
[editovat]- w:Eduroam
- http://www.eduroam.org/ – domácí stránka evropská
- http://www.eduroam.cz/ – domácí stránka česká