Eduroam

Eduroam je projekt, který spočívá v tom, že se řada institucí domluví na tom, že pro své členy bude zajišťovat WiFi připojení tím způsobem, že registrace uživatele v jedné (mateřské) instituci mu umožní se připojit i prostřednictvím přípojných bodů ostatních institucí – analogickým způsobem, jako pracuje např. roaming mezi různými mobilními operátory. To podpoří mobilitu všech uživatelů. V praxi to znamená např. to, že student Karlovy univerzity může mít konektivitu i při návštěvě některé fakulty ČVUT, neboť obě instutuce jsou připojeny k Eduroamu; podobně třeba při návštěvě Brna či Plzně může využívat připojení přes Masarykovu či Západočeskou univerzitu atd. (viz Seznam připojených institucí)

Kromě připojení jako takového musí Eduroam zajišťovat i bezpečnost takového připojení, a v tom možná tkví i občasné problémy a nespokojenost uživatelů s jinak dobrou myšlenkou.

Každá ze zúčastněných stran si může řešit přidělování accountů a přístupových hesel pro své uživatele svým vlastním mechanismem. Níže uvedeme několik příkladů:

Všichni studenti Karlovy univerzity (pregraduální i postgraduální) využívají centrální autentifikační služby http://ldap.cuni.cz, ke které získají vstup (identifikační číslo a iniciální heslo) při vydání studentského průkazu. V rámci této služby si mohou nastavit i svoje přístupové heslo do Eduroamu.

Eduroam je zaštiťován sdružením CESNET z. s. p. o., který zde funguje jakožto certifikační autorita a tím pádem je potřeba si stáhnout z jeho stránek příslušné kořenové certifikáty:

• http://www.cesnet.cz/pki/certs/ – adresář s certifikáty CESNETu
• http://www.cesnet.cz/pki/certs/cesnet-ca.cz.pem.crt – příslušný certifikát (formát CRT)

Je dobré zkontrolovat fingerprint:

openssl x509 -in cesnet-ca.cz.pem.crt -noout -fingerprint

Některý software má problém s formátem CRT, proto můžeme certifikát přeložit do formátu DER:

openssl x509 -in cesnet-ca.cz.pem.crt  -out cesnet-ca.cz.pem.der -outform DER

Pozor – od srpna 2011 došlo ke změně certifikačních autorit, neboť CESNET CA zanikla http://uvt.cuni.cz/UVT-458.html Nyní např. radius servery domény cuni používají certifikátu TERENA SSL CA (TCS); Tato CA má svůj certifikát podepsaný globálně akceptovanou certifikační autoritou UTN-USERFirst-Hardware společnosti Comodo. SHA1 otisk jejího certifikátu je: 04:83:ED:33:99:AC:36:08:05:87:22:ED:BC:5E:46:00:E3:BE:F9:D7

Viz w:RADIUS

Základní myšlenka je ta, aby z přístupového jména uživatele byla vidět jeho příslušnost k té které mateřské instituci, prostřednictvím jejíž autentifikace přistupuje k Eduroamu. To se prakticky řeší tím, že uživatelské jméno (login) sestává ze dvou částí: první je identifikace uživatele v rámci té které organizace, pak následuje zavináč @ a po něm druhá část, nazvaná realm. Např:

• Bezdrátová:
  • SSID: eduroam
  • Režim: Infrastruktura
  • BSSID:
  • Adresa MAC:
  • MTU: automatické
• Bezdrátové zabezpečení (Wireless Security):
  • Zabezpečení (Security): WPA & WPA2 Enterprise
  • Ověření (Authentication): Protected EAP (PEAP) (někde se radí Tunneled TLS)
  • Anonymní identita (Anonymous Identity):
  • Certifikát CA (CA Certificate): cesnet-ca.cz.der
  • Verze PEAP (PEAP Version): Verze 0
  • Vnitřní ověření (Inner Authentication): MSCHAPv2
  • Uživatelské jméno (User Name): mujlogin@muj.realm
  • Heslo (Password): Mojeheslo
• Nastavení IPv4
  • Metoda: Automaticky (DHCP)

Občas se vyskytují problémy, např. po chvíli připojování se pokaždé znovu a znovu objeví okno "K bezdrátové síti je vyžadováno ověření".

Připojování Network Manager loguje do /var/log/messages

Jan 13 14:29:02 mi kernel: [  561.549226] Linux kernel driver for RTL8180 / RTL8185 based WLAN cards
Jan 13 14:29:02 mi kernel: [  561.549237] Copyright (c) 2004-2005, Andrea Merello
Jan 13 14:29:02 mi kernel: [  561.549242] rtl8180: Initializing module
Jan 13 14:29:02 mi kernel: [  561.549246] rtl8180: Wireless extensions version 22
Jan 13 14:29:02 mi kernel: [  561.549250] rtl8180: Initializing proc filesystem
Jan 13 14:29:02 mi kernel: [  561.549325] rtl8180: Configuring chip resources
Jan 13 14:29:02 mi kernel: [  561.549353] ACPI: PCI Interrupt 0000:02:00.0[A] -> GSI 17 (level, low) -> IRQ 17
Jan 13 14:29:02 mi kernel: [  561.555298] rtl8180: Channel plan is 2
Jan 13 14:29:02 mi kernel: [  561.555302] 
Jan 13 14:29:02 mi kernel: [  561.555313] Dot11d_Init()
Jan 13 14:29:02 mi kernel: [  561.555322] rtl8180: MAC controller is a RTL8187SE b/g
Jan 13 14:29:02 mi kernel: [  561.555326] rtl8180: This is a PCI NIC
Jan 13 14:29:02 mi kernel: [  561.557729] rtl8180: usValue is 0x100
Jan 13 14:29:02 mi kernel: [  561.557731] 
Jan 13 14:29:02 mi kernel: [  561.612443] rtl8180: EEPROM version 104
Jan 13 14:29:02 mi kernel: [  561.617218] rtl8180: WW:**PLEASE** REPORT SUCCESSFUL/UNSUCCESSFUL TO Realtek!
Jan 13 14:29:02 mi kernel: [  561.617835] rtl8180: IRQ 17
Jan 13 14:29:02 mi kernel: [  561.619873] rtl8180: Driver probe completed
Jan 13 14:29:02 mi kernel: [  561.619879] 
...
Jan 13 14:29:02 mi kernel: [  561.619879] 
Jan 13 14:29:07 mi kernel: [  565.563575] rtl8180: Bringing up iface
Jan 13 14:29:07 mi kernel: [  565.762195] rtl8180: Card successfully reset
Jan 13 14:29:07 mi kernel: [  566.499945] rtl8180: WIRELESS_MODE_G
Jan 13 14:29:07 mi kernel: [  566.499952] 
...
Jan 13 14:29:07 mi kernel: [  566.518344] ADDRCONF(NETDEV_UP): wlan0: link is not ready
...
Jan 13 14:30:59 mi kernel: [  592.506159] rtl8180: Setting SW wep key

Linking with eduroam: channel is 1
Linking with eduroam: channel is 1
In rtl8180_set_chan: Invalid chnanel 156
Linking with eduroam: channel is 1
Linking with eduroam: channel is 1
Linking with eduroam: channel is 1

• Použít šifrování: PEAP with TKIP/MSCHAPV2
• Cesta k cert CA: /cesta/k/certifikátu/UVT-458-version1-UTN.cer

• Michal Švec (2009-02-09):EDUROAM a Wicd Manager

1. certifikát http://uvt.cuni.cz/UVT-89-version1-cca_cer.cer
2. Start -> Připojit -> Zobrazit všechna připojení
3. pravý klik na Bezdrátové připojení k síti -> Vlastnosti
4. bezdrátové sítě, vybrat eduroam (musíme být na signálu), Vlastnosti
5. tab Přidružení:
   1. Ověření v síti: WPA
   2. Šifrování dat: TKIP
6. tab Ověřování:
   1. Typ protokolu EAP: PEAP (Protected EAP)
   2. Vlastnosti -> okno: Chráněné vlastnosti protokolu EAP
      1. Pro připojení: Ověřit certifikát serveru
      2. Vybrat certifikát CESNET CA
      3. zaškrtnout: Nezobrazovat výzvu k ověření nových serverů nebo důvěryhodných certifikačních úřadů.
      4. Vyberte metodu ověřování: Zabezpečené heslo (EAP-MSCHAP v2)
      5. Povolit rychlé obnovení připojení
      6. Konfigurovat:
         1. Automaticky použít přihlašovací jméno ... atd: musí být NEZEŠKRTNUTÉ
7. Jestliže je dostupná síť, ukáže se ikonka k autentifikaci (login = 12345678@cuni.cz, heslo)

1. Stáhnou certifikát: https://uvt.cuni.cz/UVT-89-version1-digicert_assured_id_root_ca.cer
2. Instalace certifikátu: Nastavení - Wi-Fi - Další nastavení - Nainstalovat certifikáty - (označit) - Vybrat - (pojmenovat)
3. Nastavení parametrů: pustit wifi - vybrat Eduroam - rozšířené možnosti:
   1. Metoda EAP: PEAP
   2. Ověření Phase 2: MSCHAPV2
   3. Certifiát: (vybrat název z kroku (pojmenovat))
   4. Stav online certifikátu: - (neověřovat)
   5. Doména:
   6. Ochrana soukromí: Použít randomizovaný MAC
   7. Identita: můžete si zobrazit v CAS (bývá ve formátu osobní číslo@doména.cz, například číslo@cuni.cz)
   8. Anonymní identita: -
   9. Heslo: vaše heslo (můžete si zobrazit v CAS)

• Institute of Biochemistry and Experimental Oncology 1.LF UK
  • U nemocnice 478/5, Praha 2
  • essid: eduroam
  • Ověření v síti: WPA + Šifrování dat: TKIP
  • konektivita: WiFi; IPv4; FW + NAT + žádná proxy
  • How to connect your computer to the Wi-Fi network Eduroam

• w:Eduroam
• http://www.eduroam.org/ – domácí stránka evropská
• http://www.eduroam.cz/ – domácí stránka česká

• http://eduroam.fjfi.cvut.cz/local.html#linux_gui