Eduroam

Z Wikiverzity
Skočit na navigaci Skočit na vyhledávání

Eduroam je projekt, který spočívá v tom, že se řada institucí domluví na tom, že pro své členy bude zajišťovat WiFi připojení tím způsobem, že registrace uživatele v jedné (mateřské) instituci mu umožní se připojit i prostřednictvím přípojných bodů ostatních institucí – analogickým způsobem, jako pracuje např. roaming mezi různými mobilními operátory. To podpoří mobilitu všech uživatelů. V praxi to znamená např. to, že student Karlovy univerzity může mít konektivitu i při návštěvě některé fakulty ČVUT, neboť obě instutuce jsou připojeny k Eduroamu; podobně třeba při návštěvě Brna či Plzně může využívat připojení přes Masarykovu či Západočeskou univerzitu atd. (viz Seznam připojených institucí)

Kromě připojení jako takového musí Eduroam zajišťovat i bezpečnost takového připojení, a v tom možná tkví i občasné problémy a nespokojenost uživatelů s jinak dobrou myšlenkou.

Získání účtu (přístupu) do sítě Eduroam[editovat]

Každá ze zúčastněných stran si může řešit přidělování accountů a přístupových hesel pro své uživatele svým vlastním mechanismem. Níže uvedeme několik příkladů:

Student Karlovy univerzity[editovat]

Všichni studenti Karlovy univerzity (pregraduální i postgraduální) využívají centrální autentifikační služby http://ldap.cuni.cz, ke které získají vstup (identifikační číslo a iniciální heslo) při vydání studentského průkazu. V rámci této služby si mohou nastavit i svoje přístupové heslo do Eduroamu.

Certifikace[editovat]

Eduroam je zaštiťován sdružením CESNET z. s. p. o., který zde funguje jakožto certifikační autorita a tím pádem je potřeba si stáhnout z jeho stránek příslušné kořenové certifikáty:

Je dobré zkontrolovat fingerprint:

openssl x509 -in cesnet-ca.cz.pem.crt -noout -fingerprint

Některý software má problém s formátem CRT, proto můžeme certifikát přeložit do formátu DER:

openssl x509 -in cesnet-ca.cz.pem.crt  -out cesnet-ca.cz.pem.der -outform DER

Pozor – od srpna 2011 došlo ke změně certifikačních autorit, neboť CESNET CA zanikla http://uvt.cuni.cz/UVT-458.html Nyní např. radius servery domény cuni používají certifikátu TERENA SSL CA (TCS); Tato CA má svůj certifikát podepsaný globálně akceptovanou certifikační autoritou UTN-USERFirst-Hardware společnosti Comodo. SHA1 otisk jejího certifikátu je: 04:83:ED:33:99:AC:36:08:05:87:22:ED:BC:5E:46:00:E3:BE:F9:D7

RADIUS[editovat]

Viz w:RADIUS

Realm[editovat]

Základní myšlenka je ta, aby z přístupového jména uživatele byla vidět jeho příslušnost k té které mateřské instituci, prostřednictvím jejíž autentifikace přistupuje k Eduroamu. To se prakticky řeší tím, že uživatelské jméno (login) sestává ze dvou částí: první je identifikace uživatele v rámci té které organizace, pak následuje zavináč @ a po něm druhá část, nazvaná realm. Např:

instituce realm
CESNET @cesnet.cz
Univerzita Karlova @cuni.cz

Nastavení parametrů přístupu[editovat]

NetworkManager[editovat]

  • Bezdrátová:
    • SSID: eduroam
    • Režim: Infrastruktura
    • BSSID:
    • Adresa MAC:
    • MTU: automatické
  • Bezdrátové zabezpečení (Wireless Security):
    • Zabezpečení (Security): WPA & WPA2 Enterprise
    • Ověření (Authentication): Protected EAP (PEAP) (někde se radí Tunneled TLS)
    • Anonymní identita (Anonymous Identity):
    • Certifikát CA (CA Certificate): cesnet-ca.cz.der
    • Verze PEAP (PEAP Version): Verze 0
    • Vnitřní ověření (Inner Authentication): MSCHAPv2
    • Uživatelské jméno (User Name): mujlogin@muj.realm
    • Heslo (Password): Mojeheslo
  • Nastavení IPv4
    • Metoda: Automaticky (DHCP)

Občas se vyskytují problémy, např. po chvíli připojování se pokaždé znovu a znovu objeví okno "K bezdrátové síti je vyžadováno ověření".

Připojování Network Manager loguje do /var/log/messages

Jan 13 14:29:02 mi kernel: [  561.549226] Linux kernel driver for RTL8180 / RTL8185 based WLAN cards
Jan 13 14:29:02 mi kernel: [  561.549237] Copyright (c) 2004-2005, Andrea Merello
Jan 13 14:29:02 mi kernel: [  561.549242] rtl8180: Initializing module
Jan 13 14:29:02 mi kernel: [  561.549246] rtl8180: Wireless extensions version 22
Jan 13 14:29:02 mi kernel: [  561.549250] rtl8180: Initializing proc filesystem
Jan 13 14:29:02 mi kernel: [  561.549325] rtl8180: Configuring chip resources
Jan 13 14:29:02 mi kernel: [  561.549353] ACPI: PCI Interrupt 0000:02:00.0[A] -> GSI 17 (level, low) -> IRQ 17
Jan 13 14:29:02 mi kernel: [  561.555298] rtl8180: Channel plan is 2
Jan 13 14:29:02 mi kernel: [  561.555302] 
Jan 13 14:29:02 mi kernel: [  561.555313] Dot11d_Init()
Jan 13 14:29:02 mi kernel: [  561.555322] rtl8180: MAC controller is a RTL8187SE b/g
Jan 13 14:29:02 mi kernel: [  561.555326] rtl8180: This is a PCI NIC
Jan 13 14:29:02 mi kernel: [  561.557729] rtl8180: usValue is 0x100
Jan 13 14:29:02 mi kernel: [  561.557731] 
Jan 13 14:29:02 mi kernel: [  561.612443] rtl8180: EEPROM version 104
Jan 13 14:29:02 mi kernel: [  561.617218] rtl8180: WW:**PLEASE** REPORT SUCCESSFUL/UNSUCCESSFUL TO Realtek!
Jan 13 14:29:02 mi kernel: [  561.617835] rtl8180: IRQ 17
Jan 13 14:29:02 mi kernel: [  561.619873] rtl8180: Driver probe completed
Jan 13 14:29:02 mi kernel: [  561.619879] 
...
Jan 13 14:29:02 mi kernel: [  561.619879] 
Jan 13 14:29:07 mi kernel: [  565.563575] rtl8180: Bringing up iface
Jan 13 14:29:07 mi kernel: [  565.762195] rtl8180: Card successfully reset
Jan 13 14:29:07 mi kernel: [  566.499945] rtl8180: WIRELESS_MODE_G
Jan 13 14:29:07 mi kernel: [  566.499952] 
...
Jan 13 14:29:07 mi kernel: [  566.518344] ADDRCONF(NETDEV_UP): wlan0: link is not ready
...
Jan 13 14:30:59 mi kernel: [  592.506159] rtl8180: Setting SW wep key

Linking with eduroam: channel is 1
Linking with eduroam: channel is 1
In rtl8180_set_chan: Invalid chnanel 156
Linking with eduroam: channel is 1
Linking with eduroam: channel is 1
Linking with eduroam: channel is 1

Wicd[editovat]

  • Použít šifrování: PEAP with TKIP/MSCHAPV2
  • Cesta k cert CA: /cesta/k/certifikátu/UVT-458-version1-UTN.cer

Zdroje[editovat]

Win XP[editovat]

  1. certifikát http://uvt.cuni.cz/UVT-89-version1-cca_cer.cer
  2. Start -> Připojit -> Zobrazit všechna připojení
  3. pravý klik na Bezdrátové připojení k síti -> Vlastnosti
  4. bezdrátové sítě, vybrat eduroam (musíme být na signálu), Vlastnosti
  5. tab Přidružení:
    1. Ověření v síti: WPA
    2. Šifrování dat: TKIP
  6. tab Ověřování:
    1. Typ protokolu EAP: PEAP (Protected EAP)
    2. Vlastnosti -> okno: Chráněné vlastnosti protokolu EAP
      1. Pro připojení: Ověřit certifikát serveru
      2. Vybrat certifikát CESNET CA
      3. zaškrtnout: Nezobrazovat výzvu k ověření nových serverů nebo důvěryhodných certifikačních úřadů.
      4. Vyberte metodu ověřování: Zabezpečené heslo (EAP-MSCHAP v2)
      5. Povolit rychlé obnovení připojení
      6. Konfigurovat:
        1. Automaticky použít přihlašovací jméno ... atd: musí být NEZEŠKRTNUTÉ
  7. Jestliže je dostupná síť, ukáže se ikonka k autentifikaci (login = 12345678@cuni.cz, heslo)

Některé přístupové body[editovat]

1. lékařská fakulta UK v Praze[editovat]



Odkazy[editovat]

Odkazy na návody[editovat]