Projekt Eduroam Projekt Eduroam je určený pro bezdrátové a pevné připojení mobilních uživatelů do počítačové sítě WEBnet. Mohou jej využívat studenti, zaměstnanci a spřátelené organizace. V rámci tohoto projektu se mohou studenti i zaměstnanci ZČU připojovat i na řadě dalších vysokých škol se stejnými přihlašovacími údaji. Myšlenka umožnit uživatelům transparentní používání propojených sítí vznikla v rámci TERENA mobility TF. Motivací všech prací je, aby použití služeb sítě bylo tak snadné jako je používání roamingu mobilních operátorů. Uživatel má jediný účet (ve své domovské síti) a tento účet jej opravňuje k použití bezdrátové sítě kteréhokoliv člena projektu. Projekt eduroam.cz v rámci České Rupubliky je koordinován a zaštiťován sdružením CESNET z. s. p. o.. Mobilita a roaming Jak již bylo zmíněno, v rámci projektu eduroam se lze připojit v dalších organizací (vysolých školách) zapojených do tohoto projektu. Připojení mimo domovskou organizaci zajišťuje autentizační a autorizační infrastruktura (AAI), přes kterou se předávají přístupové informace (jméno a heslo nebo certifikát) od uživatele až do domovské organizace uživatele, kde má vytvořen svůj účet. Zde poté dojde na základě informací o uživateli k rozhodnutí, zda mu bude umožněn přístup do sítě. Vztahy mezi organizacemi spolupracujícími v rámci projektu eduroam, práva a povinnosti uživatelů a správců sítí jednotlivých organizací jsou definovány v dokumentu roamingová politika. Možnosti připojení Většina organizací zapojených v projektu eduroam nabízí několik způsobů připojení Vašeho mobilního zařízení (například notebook, PDA, atd...). Nejčastější způsob je realizován jako bezdrátová síť (WiFi) podle standardu 802.11b (11Mbit/s),802.11g (54Mbit/s) nebo 802.11a(h) (54Mbit/s). Jméno bezdrátové sítě tzv. SSID je eduroam. Další možností je využití připojení pomocí pevné ethernetové sítě (10/100Mbit/s). Možnosti ověřování Pro ověřování uživatelů přistupujicích pomocí bezdrátové sítě nebo sítě pevné, se používá několik mechanizmů. Preferovanou metodou ověření uživatele ať již z hlediska bezpečnosti tak i komfortu je autentizace podle standardu IEEE 802.1X. Tento mechanizmus poskytuje zabezpečené ověření, šifrovaný přenos dat a je podporován většinou moderních síťových prvků i operačních systémů. Další metodou je ověření uživatele pomocí tzv. web-based aplikace nebo případně připojením do VPN.
Eduroam/Jak se připojit? < Eduroam Obsah [skrýt]
1 Jak se připojit na Západočeské Univerzitě v Plzni 1.1 IEEE 802.1X - pohodlně a bezpečně: eduroam 1.2 Možnosti úrovně šifrování: 1.3 Návody: 1.4 Poslední záchrana: zcu-mobile 1.5 Možnosti úrovně šifrování: 1.6 Návody:
Jak se připojit na Západočeské Univerzitě v Plzni IEEE 802.1X - pohodlně a bezpečně: eduroam Tato metoda je preferovanou metodou ověření uživatele ať již z hlediska bezpečnosti tak i komfortu. Tento mechanizmus poskytuje zabezpečené ověření, šifrovaný přenos dat (WEP,WPA,WPA2) a je podporován většinou moderních síťových prvků i operačních systémů. V případě Západočeské Univerzity v Plzni je použito ověřování dle standardu IEEE 802.1X EAP/PEAP a je určen pro pevné i bezdrátové připojení. Jde zde tedy možné použít ověření na základě Vašeho uživatelského jména v systému Orion a Vašeho tzv. "síťového hesla" (PEAP) nebo využít ověření pomocí osobního síťového certifikátu (EAP). Způsop ověřovaní IEEE 802.1X EAP/PEAP je přímo podporován i v systému Windows XP a po prvním zadání jména a hesla nebo zvolením certifikátu jenž se má používat se již uživatel nemusí dále znovu ověřovat ani po odpojení. Systém si přihlašovací informace uloží a v připadě nutnosti provede ověření plně automaticky bez zásahu uživatele. Pokud se budete chtít připojit totou metodou musí Váše mobilní zařízení podporovat standard IEEE 802.1X EAP/PEAP dále je pak nutné mít nainstalován certifikát certifikační autority ZCU root CA a nastavené Vaše "síťové heslo".
Možnosti úrovně šifrování: * otevřené ověření v síti s šifrováním dat WEP (automatická výměna klíčů) a 802.1x ověřovacím
protokolem (EAP/PEAP). * WPA ověření v síti s šifrováním dat TKIP a 802.1x ověřovacím protokolem (EAP/PEAP). * WPA2 ověření v síti s šifrováním dat AES a 802.1x ověřovacím protokolem (EAP/PEAP).
Návody: * Návod na instalaci certifikátu certifikační autority ZCU root CA (Windows XP) * Návod pro připojení do bezdrátové sítě eduroam (Windows XP) * Návod pro připojení do bezdrátové sítě eduroam (Windows Vista) * Návod pro připojení do bezdrátové sítě eduroam (Linux Debian) * Návod pro připojení do bezdrátové sítě eduroam (Mac OS) * Návod pro připojení do bezdrátové sítě eduroam (PDA - Microsoft Pocket PC) * Návod pro připojení do bezdrátové sítě eduroam (Mobil - Microsoft Windows Mobile 5) * Návod pro připojení do bezdrátové sítě eduroam (Mobil Nokia řady E Symbian OS 9.1) * Návod pro připojení do bezdrátové sítě Eduroam pomocí osobního síťového certifikátu (Windows XP) * Návod pro připojení do bezdrátové sítě Eduroam pomocí osobního síťového certifikátu (Linux Debian) * Návod pro připojení do pevné sítě eduroam (Windows XP) * Návod pro připojení do pevné sítě eduroam (Linux Debian)
Poslední záchrana: zcu-mobile Tento způsob ověření není doporučován, avšak umožňuje připojení uživatelů jejichž mobilní zařízení nepodporuje standard IEEE 802.1X EAP/PEAP. Stačí pouze aby internetová prohlížeč Vašeho mobilního zařízení měl povoleno "vyskakování" pop-up oken. Tato metoda poskytuje zabezpečené ověření avšak přenos dat již není šifrován. Samotné ověření probíhá formou zadání Vašeho uživatelského jména v systému Orion a Vašeho "síťového hesla" do formuláře v přihlašovací stránce na kterou budete při prvním použití Vašeho internetového prohlížeče přesměrováni. Pokud se budete chtít připojit totou metodou musíte mít nainstalován certifikát certifikační autority ZCU root CA a nastavené Vaše "síťové heslo". Tento způsob připojení nepodporuje tzv. roaming a je určen pouze pro uživatele Západočeské univerzity.
Možnosti úrovně šifrování: * otevřené ověření v síti se zakázaným šifrováním dat.
Návod na instalaci certifikátu certifikační autority ZCU root CA (Windows XP) Návod instalaci certifikátu certifikační autority ZCU root CA (Windows XP)
Návod pro připojení do bezdrátové sítě eduroam (Windows XP) 1. Stáhnout a nainstalovat certifikát certifikační autority ZČU Kliknutím pravým tlačítkem na odkaz stáhnout certifikát a zvolením možnosti Uložit jako si certifikát stáhneme a uložíme jej na disk.
Při instalaci certifikátu můžete postupovat dle návodu na instalaci certifikátu. 2. Nastavení hesla pro přístup do sítě Na stránce pro změnu hesla si nastavíme přihlašovací heslo pro přístup do sítě. 3. Základní nastavení wifi adaptéru Po povolení bezdrátové karty wifi v systému nám systém ohlásí, že ve svém dosahu nalezl bezdrátové sítě.
Kliknutím na toto hlášení se zobrazí okno s výpisem dostupných bezdrátových sítí.
Dvojitým kliknutím na síť se jménem eduroam se k této síti připojíme.
Síť Eduroam je zabezpečená a proto se do ní nemůžeme přihlásit bez nastavení
způsobu ověřování. Ověřování nastavíme v nabídce START => Nastavení => Ovládací panely, kde zvolíme ikonu Síťová připojení.
Po kliknutí pravého tlačítka myši na ikoně Bezdrátového připojení vybereme volbu
Vlastnosti. Výběrem položky Protokol sítě Internet (TCP/IP) a následným kliknutím na tlačítku Vlastnosti zkontrolujeme správné nastavení karty.
Zde nastavte položky Získávat adresu IP ze serveru DHCP automaticky a Získávat adresu serveru DNS automaticky.
Dále pokračujeme stiknutím tlačítka OK a přepnutím do záložky Bezdrátové sítě. Zde je nutné zvolit parametr Konfigurovat nastavení bezdrátové sítě pomocí systému Windows Výběrem položky eduroam (Automaticky) v sekci Upřednostňované sítě a následným kliknutám na tlačítku Vlastnosti zkontrolujeme správné nastavení pro tuto síť.
Zde musí být nastavena položka Ověření v síti na hodnotu Otevřené a položka Šifrování dat na hodnotu WEP (případně nastavte vyšší úrověň zabezpečení: WPA-TKIP nebo WPA2-AES).
V záložce Ověřování zvolíme parametr Povolit v této síti ověření IEEE 802.1x a položku Typ protokolu EAP nastavíme na hodnotu Protokol PEAP (Protected EAP).
Kliknutím na tlačítku Vlastnosti se nám zobrazí okno, kde zvolíme nastavení Ověřit certifikát serveru, v seznamu Důvěryhodných kořenových certifikačních úřadů zvolíme náš certifikační úřad ZCU root CA a způsob ověřování nastavíme
na Zabezpečené heslo (EAP-MSCHAP v2).
Po stisku tlačítka Konfigurovat... odstraníme volbu Automaticky použít přihlašovací jméno, heslo a připadně doménu systému Windows.
Všechna okna zavřeme tlačítkem OK. Operační systém se během chvilky začne přihlašovat do bezdrátové sítě Eduroam a následujícím hlášením požádá o zadání přihlašovacích údajů.
Kliknutím na vypsaném hlášením se otevře okno, kde vyplníme uživatelské jméno a heslo určené pro přístup do WiFi sítě Eduroam. Přihlašovací doménu nevyplňujeme.
Systém začne ověřovat přihlašovací údaje a vypíše znovu hlášení.
Kliknutím na vypsaném hlášení se nám zobrazí informace o certifikátu. Z bezpečnostního hlediska je vhodné kliknout na tlačítko Zobrazit certifikát serveru a zkontrolovat, zda se opravdu jedná o certifikát podepsaný náší certifikační autoritou.
Vystavitel musí být ZCU root CA
V záložce podrobnosti je vhodné zkontrolovat tzv. Miniaturu certifikátu, zda je shodná s miniaturou jednoho z našich serverů gauth.zcu.cz: 28 a2 44 65 e2 d3 fa 8d d8 96 8c ef 4e f2 06 4b d4 2e b0 03 gauth2.zcu.cz: 3d f6 b2 0d 91 a0 48 c0 5f 6c f3 70 38 3d 61 0d fa b9 52 3c
Cesta k certifikátu musí obsahovat ZCU root CA dále pak jméno serveru gatuh.zcu.cz případně jméno serveru gatuh2.zcu.cz.
Po ověření a přijetí certifikátu vypíše systém hlášení o připojení Vašeho počítače
k síti eduroam.
