Dotazy
Jsem uživatel z Univerzity obrany a pokouším se přihlásit k síti eduroam s autorizačními údaji, které jsem obdržel v Informacích pro prvotní přihlášení. Heslo pro prvotní přihlášení jsem si ještě nezměnil. Připojení mi však s těmito údaji nefunguje. Co mám dělat?
S heslem pro prvotní přihlášení se uživatel nikam nedostane. Slouží pouze k tomu, aby byl uživatel donucen si toto heslo změnit. Pokud používáte Windows nebo Linux, budete po zadání hesla pro prvotní přihlášení automaticky vyzváni k zadání nového hesla. V případě jiných operačních systémů (Android, Symbian - tj. mobilní telefony, tablety, apod.) si své heslo před použitím musíte nejprve změnit na stránce určené ke změně hesla. K tomu musíte (prozatím) použít přístupu z pevné sítě nebo z jiného počítače, který je již k Internetu připojen. Pak postupujte podle odkazu Návody nahoře.
Proč dnes, v úterý odpoledne, není síť eduroam na Univerzitě obrany (dále jen "UO") dostupná, nebo se nemohu autentizovat, resp. mé připojení je nestabilní a vypadává mi?
Je možné, že správce právě provádí údržbu systému. Na tuto případnou činnost je vyhrazen čas každé úterý po skončení pracovní doby do začátku pracovní doby následujícího dne.
Kdo všechno se může připojovat na UO do Internetu prostřednictvím bezdrátové sítě eduroam?
Síť eduroam mohou využívat všichni uživatelé s účtem v Informačním systému Univerzity obrany (dále jen "ISUO") a uživatelé s účty z partnerských institucí zapojených do projektu eduroam.
Pod jakým názvem nebo názvy (identifikátory, ESSID) je bezdrátová síť v prostorách UO dostupná?
Bezdrátová síť je dostupná ze všech bezdrátových přístupových bodů pod identifikátorem "eduroam". Tento identifikátor je veřejně oznamován, tj. uživatel jej uvidí v seznamu dostupných sítí.
Dostupnost internetového připojení pod tímto identifikátorem oznamují i další instituce, které se projektu eduroam účastní, takže uživatel jej zpravidla nemusí v konfiguraci svého zařízení měnit, pokud se přesune na jinou instituci, kde je eduroam připojení dostupné. Více viz sekce Bezdrátové připojení na jiné instituci na této stránce.
Jak zjistím, zdali je bezdrátová síť dostupná v místě, kde se právě nacházím?
Bezdrátová síť na UO momentálně pokrývá tyto lokality. Pokud se nacházíte v některé z těchto lokalit nebo jejím nejbližším okolí a (ve Windows) kliknete na ikonu bezdrátové sítě v dolní liště vpravo, případně na odkaz 'Zobrazit bezdrátové sítě k dispozici', a v seznamu uvidíte síť s identifikátorem eduroam a dostatečnou úrovní ukazatele síly signálu, pak je síť dostupná.
Dostupnost připojení v dané lokalitě také zpravidla oznamuje poutač s logem "eduroam", který je umístěn v blízkosti místa jejího šíření.
Jaký login a heslo mám použít pro přihlášení do bezdrátové sítě na UO?
Studenti a stálý stav Univerzity obrany použijí tzv. identitu ve tvaru "login@unob.cz" a heslo, kde "login" a "heslo" jsou údaje, které nalezne v dokumentu s "Informacemi pro prvotní přihlášení". Uživatelé z ostatních institucí použijí přihlašovací údaje, které jim přidělila jejich domovská instituce.
Mohu místo "login@unob.cz" použít svou e-mailovou adresu?
Ne, nemůžete!
Proč nemohu použít k přihlášení místo "login@unob.cz" jen samotný "login"?
Bez údaje "@domena" - tzv. realmu - nelze rozlišit, ze které organizace uživatel s údajem "login" pochází. V případě, kdy se přihlašujete přes cizí síťovou infrastrukturu (tj. "roamujete mezi organizacemi"), slouží část za zavináčem jako globálně unikátní identifikátor, který směruje požadavek na autentizaci údaje "login" na autentizační (RADIUS) servery organizace (v tomto případě Univerzity obrany).
Dříve mi přístup do bezdrátové sítě fungoval, ale nyní mi nefunguje a systém mi hlásí "nepřipojeno", i když se nacházím v dosahu sítě. Pokusy o přihlášení se neustále opakují. V konfiguraci bezdrátového připojení jsem neprovedl žádnou změnu. Co mám nyní dělat?
V první řadě si zkontrolujte, zda máte svůj počítač nakonfigurován dle Návodů.
Doporučujeme rovněž zkontrolovat, zdali vám nevypršela platnost vašeho hesla, kterou lze ověřit tak, že se zkusíte připojit prostřednictvím pevné drátové sítě na webové stránky intranet.unob.cz nebo email.unob.cz se svými dosavadními autorizačními údaji. Pokud vám heslo vyexpirovalo, budete upozorněni na možnost změny hesla. Následně si budete muset své heslo ručně změnit i v profilu bezdrátového připojení vašeho zařízení, případně připojení zkonfigurovat s novým heslem znovu.
Své heslo můžete rovněž kdykoliv změnit na stránce pro změnu hesla.
Upozorňujeme studenty a zaměstnance UO, že identity "UNIVO\login", "login@unob.local" a "login" jsou od 11. 3. 2013 pro připojení do sítě eduroam nepřípustné a připojení s nimi nebude fungovat, stejně jako identita ve tvaru vašeho e-mailu - jediný funkční tvar je "login@unob.cz".
Proč nevidím (resp. proč mi systém nehlásí), z jakého důvodu se můj počítač po zadání autorizačních údajů nepřipojil k WiFi síti?
Klientský software a protokol MSCHAPv2, zprostředkovávající autentizaci a přístup k síti, bohužel nepodporují předávání diagnostických informací uživateli ve srozumitelné podobě. Nejčastějšími příčinami však bývá špatně zadané nebo vyexpirované heslo. Pokud se připojujete v prostorách Univerzity obrany a jste si na 101% jisti, že vše máte správně nastavené, a přesto se vám nedaří připojit, zkuste kontaktovat v pracovní době uživatelskou podporu (dispečink OKIS, tel. č. 442880), která vám na základě sdělení vašeho jména nebo loginu, případně MAC adresy bezdrátového adaptéru ve vašem zařízení a přibližného času vašich pokusů o připojení může sdělit důvod, proč se vám nepodařilo připojit.
V mých Windows, případně v Linuxu, mi vyskakuje okno, které vyzývá k zadání nového hesla, protože platnost starého mi již vypršela. Poté, co nové heslo zadám a zadání potvrdím, pokus o připojení skončí chybou bez udání důvodu. V čem je problém?
Pravděpodobně jste zadali heslo, které jste již použili v minulosti. Systém si pamatuje 10 naposled použitých hesel. Pokud se vám tedy změna nezdařila, zkuste pokus o připojení se starým heslem zopakovat, a po výzvě na změnu hesla zadejte nové heslo, které jste ještě nepoužili. Heslo musí mít minimálně 12 znaků a je nutno použít kombinaci malá písmena + velká písmena + ostatní znaky. Nepoužívejte znaky s diakritickými znaménky. Po úspěšném zadání budete ihned připojeni, přičemž současně dojde k uložení nového hesla do profilu vašeho bezdrátového připojení. Změna hesla ovlivní dostupnost všech služeb poskytovaných UO, které vyžadují autorizaci.
Jsem si zcela jistý(á), že jsem své přihlašovací údaje nyní zadal(a) správně. Pořád se mi však nedaří připojit. Proč problém přetrvává?
Je možné, že váš účet byl dočasně zablokován, což se stává při opakovaných pokusech o připojení s neplatným heslem. Pokud jste uživatel s účtem v ISUO, pak k zablokování dojde při více jak 10 pokusech o neúspěšné přihlášení za minutu (jde o jednu z ochran proti systematickým pokusům o prolamování hesel). Pokud jste své připojení doposud neměli funkční kvůli špatnému heslu, které jste teď opravili, a připojení vám stále nefunguje, může to být právě z výše uvedeného důvodu. V takovém případě doporučujeme pokusy o bezdrátové připojení ukončit, vyčkat cca 15 minut od posledního pokusu o přihlášení, a teprve pak se zkusit znovu k síti přihlásit.
Mám zařízení (mobilní telefon, tablet, počítač s neuvedeným OS, apod.), pro které není na vašich stránkách publikován konfigurační návod. Jak jej zkonfiguruji?
Při konfiguraci zařízení se řiďte těmito informacemi. Upozorňujeme, že z provozních důvodů OKIS Univerzity obrany provádí konfiguraci jiných zařízení a systémů než těch, které jsou uvedeny v Návodech jen ve výjimečných případech a neručí za zprovoznění bezdrátového připojení.
Při konfiguraci se lze rovněž inspirovat návody publikovanými na eduroam stránkách ostatních akademických institucí v ČR (postupy jsou často téměř identické).
Pokud se vám podaří úspěšně zkonfigurovat a připojit zařízení, pro které na těchto stránkách není publikovaný návod, budeme vděční za jeho poskytnutí k publikaci formou série screenshotů. Pro jejich umístění na tento web laskavě kontaktujte Bc. Jana Rafaje, tel. 44 3548.
Mám zařízení typu bezdrátová kamera, tiskárna, apod., které bych chtěl mít trvale připojené k síti pomocí bezdrátového připojení. Mohu jej připojit k síti eduroam na UO?
Síť eduroam na UO je určená pouze pro připojování koncových zařízení uživatele, a není vhodná pro trvalé připojování jakýchkoliv jiných zařízení.
Na své poštovní schránky nepřistupuji přes web, ale mám vlastního poštovního klienta. Když se přes eduroam na UO připojím, nejde mi z něj odesílat pošta. Existuje nějaké řešení tohoto problému?
UO blokuje odchozí spojení do Internetu na SMTP porty 25/tcp a 587/tcp, aby se zamezilo možnému šíření nevyžádané pošty z uživatelských počítačů nakažených viry, útokům typu MiTM a dalším podobným aktivitám. Pokud nutně potřebujete odesílat elektronickou poštu z vašeho klienta bez použití webového rozhraní, budete se muset připojit buď pomocí VPN, nebo použít webový přístup.
Na jaké technologii je bezdrátová síť na UO, poskytující služby v rámci projektu eduroam, postavena?
Síť je postavena na platformě HP / HPE. Srdcem celé sítě jsou bezdrátové kontrolery řad WX5000 a 7200, servery radius a množina tzv. tenkých přístupových bodů (access-pointů), se kterými kontrolery komunikují prostřednictvím protokolů LWAPP nebo IPSec.
Dozvěděl jsem se, že použití protokolu MSCHAPv2, kterým se při autentizaci transportují autorizační údaje, není bezpečné. Také se obávám, aby tyto údaje nebyly odposlechnuty cizím subjektem nebo aby se v případě, kdy se se svými údaji připojuji na jiné instituci, tyto údaje nedostaly do nepovolaných rukou. Jakou mám jistotu, že síť, ke které se připojuji, skutečně nabízí oficiální službu připojení k eduroam, a že se nejedná o podvrženou infrastrukturu určenou ke sběru a prolamování autorizačních údajů někým cizím? Co mohu udělat pro minimalizaci těchto rizik?
Protokol MSCHAPv2 používá zjednodušenou formu zastaralého šifrování DES a sám o sobě skutečně bezpečný není. V rámci eduroam připojení je však vždy zapouzdřen v protokolu PEAP, který toto riziko snižuje na únosnou mez vlastní autentizací a šifrováním. To je však podmíněno správnou konfigurací bezdrátového připojení: v konfiguraci PEAPu (případně TTLS) je vždy naprosto nezbytné aktivovat ověřování proti kořenovému certifikátu (jak uvedeno v návodech), který zajistí, že vaše autorizační údaje budou předány pouze takovým autentizačním serverům RADIUS, které se prokáží certifikátem podepsaným autoritou, co vydala kořenový certifikát. V opačném případě hrozí odposlechnutí vašich autorizačních údajů!
Konfigurace dle návodů na tomto webu počítají s tím, že libovolný autentizační (RADIUS) server v eduroamu, který se prokáže uvedeným certifikátem, poskytuje oficiální službu. Případné riziko, kdy by někdo získal certifikát pro vlastní neoficiální autentizační servery za nekalým účelem, lze ještě minimalizovat ověřováním proti jménu, uvedeném v předmětu certifikátu, kterým se RADIUS server prokazuje. V podmínkách UO je to "radius1.unob.cz". U Windows lze toto nastavit při konfiguraci sítě (viz Návody) v okně 'Vlastnosti protokolu Protected EAP' zaškrtnutím volby 'Připojit k těmto serverům', a napsáním jména "radius1.unob.cz" do pole pod touto volbou.
V případě, kdy jméno RADIUS serveru napíšete, bude se kontrolovat nejen, zdali se RADIUS server, skrytý za přístupovým bodem, ke kterému se právě připojujete, prokazuje důvěryhodným certifikátem, ale také zdali jeho jméno (které jste zadali v konfiguraci), je v poskytovaném certifikátu uvedeno. To je nejvyšší možná míra bezpečnosti, kterou lze při použití kombinace PEAP a EAP-MSCHAPv2 dosáhnout.
Posledním nezbytným předpokladem je - u Windows - zaškrtnutí volby 'Nezobrazovat výzvu k ověření nových serverů nebo důvěryhodných certifikačních autorit' - pokud je totiž tato volba zaškrtnutá, pak počítač v případě, kdy mu z RADIUS serveru přijde certifikát podepsaný neznámou autoritou, pak dojde rovnou k ukončení spojení (místo aby se zobrazil dialog pro schválení těchto - vysoce rizikových - situací [anglicky též označovaný jako "certificate pinning"]).
Bližší informace o celé problematice potřeby certifikátů lze rovněž získat na této stránce oficiálního českého webu o eduroamu.
Kde lze nalézt jména institucí zapojených do projektu eduroam a jména jejich RADIUS serverů?
Jména těchto institucí lze nalézt na těchto stránkách a zde jména jejich RADIUS serverů.
Windows XP po úspěšném připojení automaticky ukládá uživatelské jméno a heslo do systému, takže jej při dalším připojení není potřeba znovu zadávat. Děje se tak bez ohledu na to, zdali je připojení nastaveno na "Připojit ručně" nebo "Připojit automaticky" a není možné tomu zabránit. Můj počítač však používají i jiní lidé. Jak z něj tyto údaje odstraním?
Pokud nechcete mít přihlašovací údaje trvale uloženy, ať už z bezpečnostních důvodů nebo proto, že počítač používá více lidí, musíte údaje vymazat z registru Windows, viz postup níže. Pokud počítač používá více uživatelů, pak je možným řešením také vytvořit samostatný uživatelský profil (chráněný heslem) pro každého uživatele, kde ponecháte heslo uložené. Postup pro výmaz údajů z registru:
1. Klikněte na Start a zvolte Spustit.
2. Do okénka Otevřít: napište regedit a klikněte na OK.
3. Vyhledejte klíč HKEY_CURRENT_USER\Software \Microsoft\EAPOL\UserEapInfo a klikněte na něj.
4. V menu Úpravy klikněte na Odstranit. Kliknutím na Ano potvrďte odstranění klíče.
5. Ukončete Editor registru.
Kde zjistím, zdali instituce, na které budu pobývat, poskytuje v rámci projektu eduroam (bezdrátové) připojení do sítě Internet?
Zde je k dispozici seznam přípojných míst eduroam v ČR a zde seznam přípojných míst v zahraničí.
Je potřeba nějakých změn v konfiguraci nebo připojení, pokud se chci bezdrátově připojit na jiné instituci?
Zpravidla není potřeba měnit nic - všechny instituce totiž na základě pravidel Roamingové politiky povinně oznamují identifikátor (ESSID) bezdrátové sítě buď jako "eduroam" nebo "eduroam-org", kde "org" je součást doménového jména organizace. V případě publikování "eduroam-org" je nutná změna na tento název, ale počet institucí, které v názvu ESSID obsahují zkratku své organizace, je téměř nulový.
Chtěl bych pochopit, jak připojení k eduroamu vlastně technicky funguje. Kde najdu informace o principech roamingu?
Každá instituce, zapojená do projektu eduroam, provozuje jedno nebo více bezdrátových přístupových zařízení, která umožňují přístup do její síťové infrastruktury, která zprostředkovává připojení do Internetu. Přístupové zařízení povoluje přístup do sítě pouze po předchozí autorizaci uživatele pomocí jeho/její eduroam identity a hesla. Identita je globálně unikátní údaj, neboť její část - tzv. REALM (v případě UO je to "@unob.cz"), je stejná, jako primární DNS doména organizace, která tyto údaje vydala.
Na platnost kombinace identita+heslo se bezdrátové zařízení ptá místního RADIUS serveru instituce, který poté vydává verdikt "povolit" nebo "nepovolit". RADIUS server instituce je navázán na lokální autorizační zdroje instituce, která vystupuje vůči svým uživatelům autoritativně (definuje dobu platnosti účtů, pravidla pro hesla, atd.).
RADIUS server dané instituce autorizuje nejen uživatele z této instituce, ale i z institucí jiných, které jsou do projektu eduroam zapojeny. Za tímto účelem RADIUS server nejprve zjistí, zda jde o lokálního uživatele, a pokud ano, pak jej autorizuje. V případě, že jeho REALM není lokální, pak autorizační požadavek přepošle na nadřazený, tzv. národní RADIUS server, který ví, kam má požadavky na konkrétní cizí instituce směřovat. Koncový cizí RADIUS server, který je pro uživatele, co se zkouší autorizovat, lokální, pak takový požadavek vyřídí a po infrastruktuře RADIUS serverů jej pošle stejnou cestou zpět do místa vzniku požadavku. Cizí uživatel se tedy takto může, se svými lokálně vydanými autorizačními údaji, připojit přes infrastrukturu jiné, zapojené instituce - tedy vlastně roamuje. Technicky jde o 802.1X infrastrukturu na každé zapojené instituci, přičemž tyto infrastruktury jsou pomocí serverů RADIUS propojeny do společné hierarchie.
RADIUS servery jednotlivých zapojených institucí tvoří stromovou hierarchii.
Bližší informace lze nalézt např. zde.
Jsem nový student na UO a obdržel jsem Informace pro prvotní přihlášení, kromě jiného jsem dostal přihlašovací jméno a heslo pro prvotní přihlášení do intranetu. Rád bych se připojil přes wifi prostřednictvím eduroam infrastruktury. Co musím provést?
Pokud používáte Windows nebo Linux, budete po zadání hesla pro prvotní přihlášení automaticky vyzváni k zadání nového hesla. V případě jiných operačních systémů (Android, Symbian - tj. mobilní telefony, tablety, apod.) si své heslo před použitím musíte nejprve změnit na stránce pro změnu hesla. K tomu musíte použít přístupu z pevné sítě nebo z jiného počítače, který je již k Internetu připojen. Pak postupujte podle Návodů uvedených na těchto stránkách.
Jaké jsou rozdíly mezi použitím identity ve formátu "login@unob.cz" a jinými formáty (např. "UNIVO\login")? Který z nich je doporučovaný a proč?
Formát "login@unob.cz" (např. "novotnyp@unob.cz") je doporučovaný (a od 11.3. 2013 i jediný možný), neboť jej lze použít pro přístup k Internetu na kterékoliv další instituci zapojené do projektu eduroam, kdežto jiné formáty identit ("UNIVO\login", "login@unob.local", apod.) mohou mít platnost pouze v lokální síťové infrastruktuře UO, a proto již nejsou pro eduroam připojení podporovány. Doménový údaj "@unob.cz" v identitě - tzv. realm - totiž globálně identifikuje univerzitu jako poskytovatele autorizačních dat a v rámci eduroamu se proto používá pro směrování autorizačních požadavků na organizaci, která tyto údaje vydala (zejména pokud se uživatel fyzicky připojuje z jiné instituce).
Jsem učitel (nebo zaměstnanec) UO, a chci se přes bezdrátové připojení ze svého notebooku připojit na sdílenou složku jiného počítače v univerzitní síti UO, nebo chci z tohoto počítače tisknout na síťovou tiskárnu. Co pro to musím udělat?
Tato možnost je ekvivalentní připojení přes VPN a je dostupná pouze pro počítače zaměstnanců, které se fyzicky nacházejí v prostorách UO, kde prokazatelně nelze použít pevné ("drátové") připojení přes VPN (typicky kancelář bez síťové přípojky). Pro jeho zprovoznění je potřeba splnit i další podmínky. V případě vážného zájmu se zaměstnanci UO mohou obrátit na Bc. Jana Rafaje z OKIS, tel. 44 3548.
Jak poznám, že jsou mi po úspěšném připojení dostupné služby Microsoft, např. sdílení souborů mezi počítači, tisk na síťové tiskárny?
Lze to zjistit podle IP adresy, která byla vašemu počítači přidělena po přihlášení do bezdrátové sítě. Pokud vám přidělená IP adresa začíná na "160.216.2", pak není přístup k síťovým službám UO nijak omezen. IP adresy přidělené v rozsahu "160.216.3" až "160.216.31" znamenají, že počítač byl zařazen do sítě eduroam, kam jsou zařazovány všechny ostatní počítače, a služby sítě Microsoft proto dostupné nejsou. Vaši IP adresu zjistíte kliknutím sem.
Jsme pracoviště UO, které by potřebovalo zprovoznit v určité lokalitě, kde není dostupná pevná síť (typicky učebna, zasedací místnost, posluchárna apod.) bezdrátové připojení k intranetové síti UO a síti Internet, které by mohli používat všichni naši učitelé a studenti. Prostředky na pořízení hardware máme. Jaký hardware bychom měli koupit a koho máme kontaktovat kvůli technické stránce věci?
Mělo by jít o zařízení kompatibilní s bezdrátovým kontrolerem HP (HPE) řady WX5000. Pro detailní diskusi nad výběrem zařízení, jeho umístěním a požadavky na něj laskavě kontaktujte Bc. Jana Rafaje z OKIS, tel. 44 3548.