Návody

Konfigurace

Zde uvedené návody jsou určeny především pro studenty Univerzity obrany. Ostatní zaměstnanci univerzity si mohou v případě zájmu nechat počítače zkonfigurovat pracovníky PCservisu OKIS UO.

Ke konfiguraci VŠECH zařízení doporučujeme používat výhradně konfigurační nástroje eduroam CAT (CAT = zkratka z "Configuration Assistant Tool") nebo geteduroam (nutný pro zařízení s OS Android verze 8 a vyšší) od organizace GÉANT, které Vám Vaše zařízení jednoduše a hlavně správně nakonfigurují (automatická konfigurace). Uživatelé PC a zařízení s OS firmy Apple si je mohou stáhnout z výše uvedených odkazů (pozor, při instalaci konfigurátoru je proto potřeba být dočasně k síti internet nějak připojen, např. přes veřejnou wifi; uživatelé s Applem přitom musejí použít prohlížeč Safari); uživatelé mobilních zařízení se systémem Android si některý ze zmíněných nástrojů musejí stáhnout z obchodu výrobce svého zařízení (k tomu je opět potřeba buď být připojen jinde přes wifi nebo mít ve Vašem zařízení dočasně zapnuté datové připojení) a následně postupovat podle návodu pro Android níže.

Pozor, pokud používáte mobilní zařízení - pokus o připojení z něj bez předchozí konfigurace pomocí některého z obou výše zmíněných nástrojů sice může vést k úspěchu, Vaše zařízení tím ale vystavíte trvalému riziku zcizení vašich přihlašovacích údajů, proto důrazně doporučujeme veškerá mobilní zařízení vždy nejprve zkonfigurovat pomocí nástroje CAT, a teprve poté se pokoušet o připojení!

Pozor, pokud se rozhodnete místo nástroje eduroam CAT své zařízení zkonfigurovat pomocí některého z níže uvedených návodů pro manuální konfiguraci, a po konfiguraci se Vám nedaří připojit (ve Windows je typickým znakem neustále viditelný nápis "Připojování..." pod ikonou připojení k síti eduroam, a hlášení "TLS Alert read:fatal:unknown CA", které ovšem vidí pouze správce eduroamu v záznamech serverů RADIUS), pak to znamená, že Vám v zařízení typicky chybí mezilehlý certifikát "GEANT OV RSA CA 4", který je potřeba do zařízení ručně doinstalovat z odkazu Certifikáty. Důvodem je změna provedená 21.5. 2024 - viz Aktuality. I to je důvod, proč byste měli upřednostnit některý z obou výše zmíněných autokonfiguračních nástrojů.

Pokud se i přesto rozhodnete pro manuální konfiguraci dle ostatních návodů níže, pak také upozorňujeme, že pro konfiguraci bezdrátového připojení ve Windows musí být uživatel, který připojení konfiguruje, na konfigurovaném počítači členem skupiny "Administrators" nebo "Network Configuration Operators".

Android (pomocí eduroam CAT)
Systém Android pro telefony a tablety nemá možnost vybrat pro připojení k internetu konkrétní certifikát ani jméno serveru pro ověření. Jedinou bezpečnou cestou, která zamezí zcizení autorizačních údajů, je proto pro jeho nakonfigurování použití aplikace eduroam CAT (nebo aplikace geteduroam, postup je velmi podobný jako zde zmíněný - podpora jednotlivých verzí Androidu). Tato aplikace vytvoří profil a nastaví veškeré potřebné parametry. Uživatel pouze vybere profil své domovské organizace a zadá své přihlašovací údaje. Pro instalaci aplikace  je nezbytné připojit se dočasně nějakým způsobem k síti internet. K tomu je vhodné využít buď datové připojení přes svého mobilního operátora, nebo použít nějakou jinou bezdrátovou síť, např. v restauraci apod. Můžete i vyzkoušet dočasné připojení k síti eduroam v prostorách Univerzity obrany. Poté pokračujte dle následujícího návodu.
V obchodě Google Play vyhledejte aplikaci s názvem eduroam CAT. Pokud aplikaci nenaleznete, máte pravděpodobně starou verzi Androidu a připojení k síti eduroam tak není bezpečné a proto ho nepoužívejte!
​Aplikaci nainstalujte a spusťte, povolte přitom požadovaná oprávnění (např. povolení přístupu k poloze apod.)
​Vyhledejte v seznamu blízkých organizací Univerzitu obrany. Tím aplikace eduroam CAT získá konfigurační profil pro UO, který musíte použít, pokud používáte přihlašovací údaje, vydané Univerzitou obrany. Konfigurátor zpravidla nabídne Univerzitu obrany mezi prvními (závisí na informaci o poloze, kterou vaše zařízení oznamuje). V případě, že se vpravo uvedené údaje po vyhledání neobjeví, zkuste manuální hledání slova "obrany", případně akci hledání vícekrát zopakovat. POZOR, funkčnost vyhledávání je závislá na GPS údajích, které poskytuje vaše mobilní zařízení, proto doporučujeme přejít do otevřených prostor, aby vaše zařízení mohlo provést GPS zaměření (je potřeba alespoň částečný výhled na oblohu). Mnohdy se bohužel stává, že vyhledání profilu pomocí údajů z GPS není spolehlivé, takže se profil Univerzity obrany ukáže v seznamu s nesmyslně velkou vzdáleností od aktuálního místa. V případě, kdy profil UO v seznamu vůbec nefiguruje, nezbude, než jej vyhledat ručně.
​Zkontrolujte název poskytovatele a potvrďte instalaci profilu kliknutím na Instaluj. Pokud se náhodou stane, že po instalaci profilu zařízení zahlásí, že "žádný profil nevyhověl", pak to znamená, že vaše zařízení má již z dřívějška připojení pro eduroam zkonfigurované - v takovém případě je nutné program Eduroam CAT ukončit, následně ODINSTALOVAT Váš původní profil pro eduroam, a celou instalaci pomocí Eduroam CAT zkusit znovu.
​Zadejte své uživatelské jméno a heslo pro přihlášení do Informačního systému Univerzity obrany. Uživatelské jméno je vždy nezbytné zadávat ve tvaru login@unob.cz. Heslo je vhodné zadat Vaše aktuální - tedy již PO změně z hesla pro prvotní přihlášení.
Zkontrolujte úspěšnost nastavení: indikační znak u všech voleb kromě jedné by mělo být zelené zatržítko. Pokud jste v blízkosti sítě eduroam, je možné se přihlásit (není zobrazeno).
Pokud jsou údaje v pořádku, instalace profilu proběhla úspěšně, můžete aplikaci eduroam CAT zavřít a eduroam bez obav používat nejen v prostorách Univerzity obrany, ale ve všech institucích, které jsou do tohoto projektu zapojeny.
Apple IOS (pomocí eduroam CAT)

Upozorňujeme, že na služebních mobilních telefonech Apple resort nepovoluje instalaci konfiguračních profilů, takže následující postup pro ně nebude fungovat a proto na těchto zařízeních nelze eduroam bezpečně provozovat! Proto ve vlastním zájmu eduroam na těchto zařízeních nepoužívejte!

Konfigurované zařízení musíte za účelem instalace nějakým dočasným způsobem připojit k internetu (např. mít přístup k internetu přes datový tarif operátora, být připojeni v nějaké kavárně, apod).

1. Spusťte si prohlížeč Safari a pomocí něj přejděte na stránky eduroam CAT.

2. Klikněte na velké modré tlačítko s nápisem "Click here to download your eduroam® installer".
Následně budete vyzváni k zadání jména vaší domovské organizace, která instalační profil publikuje - vyhledejte a potvrďte "Univerzita obrany".
Poté klikněte na velké modré tlačítko s nápisem "Apple iOS mobile devices" pro uložení konfiguračního profilu Univerzity obrany do vašeho zařízení. Na výzvu "Povolit uložení tohoto instalátoru do vašeho zařízení" odpovězte "Povolit".

3. Po uložení konfiguračního profilu do vašeho zařízení je potřeba tento profil instalovat. To učiníte tak, že si otevřete aplikaci "Nastavení" ("Settings"), v ní pak "Obecné" ("General"), následně "VPN a Správa zařízení" ("VPN & Device Management"). Nyní byste již měli vidět stažený konfigurační profil pod názvem "eduroam®".

4. Otevřete konfigurační profil "eduroam®" a vpravo nahoře klikněte na "Instalovat" ("Install"). Po přečtení následujícího textu zvolte "Další" ("Next"). Následně povolte instalaci ověřovacího certifikátu kořenové certifikační autority kliknutím na "Instalovat" ("Install").

5. Nyní zadejte svou eduroam identitu (ve tvaru login@unob.cz - tj. např. novotnyp@unob.cz , POZOR, NEJDE O E-MAIL!) a heslo, a potvrďte kliknutím na "Hotovo" ("Done").

Pokud se nacházíte v místě, kde je dostupná síť eduroam, pak byste již měli být připojeni.

Windows 8, 8.1, 10, 11

Předpoklady a varování

  • Váš počítač musí být vybaven WiFi rozhraním, které splňuje základní technické požadavky pro přístup do bezdrátové sítě eduroam, tj. musí podporovat zabezpečení a autentizaci protokoly WPA2 a EAP-PEAP (tj. nabídka v poli "Typ zabezpečení" na kartě "Zabezpečení" - viz bod 3 níže - musí obsahovat volbu "WPA2-podnikové").
  • Konfiguraci síťového zařízení a samotného připojení provádíte nástroji standardně dostupnými ve Windows, nikoliv nástroji výrobce bezdrátové karty (tj. pokud konfigurační menu nevypadají tak, jak na screenshotech níže, nebo nenabízejí uvedené konfigurační volby, je potřeba zkontrolovat, zda není nainstalována nadstavbová podpora bezdrátových sítí od výrobce bezdrátové karty a pokud ano, pak ji odinstalovat nebo alespoň vypnout).
  • Na bezdrátovém rozhraní máte ve vlastnostech TCP/IP protokolu nastaveny volby - Získat adresu IP ze serveru DHCP automaticky - Získat adresu serveru DNS automaticky.
  • U notebooků se při probuzení počítače z režimu spánku v některých případech bezdrátové připojení nemusí znovu aktivovat. Pokud provozujete svůj notebook na baterie a máte jej nastavený na úsporný režim bezdrátového adaptéru, může se stát, že po delším ponechání notebooku v klidu se bezdrátový adaptér odpojí od sítě, případně sníží výkon, aby šetřil proud. Při požadavku na přístup do internetu se pak adaptér musí znovu připojit a to může zabrat nějaký čas. Tomuto chování můžete zabránit změnou nastavení úsporného režimu (po kliknutí pravým tlačítkem na ikonu baterie v pravém dolním rohu, vybrat Nastavení napájení (Power options). Vyskočí vám nové okno, kde si můžete vybrat režim. U režimu, který máte aktivní (při provozu na baterie nejčastěji Úsporný režim) klikněte na Změnit nastavení plánu, objeví se vám nové okno, ve kterém vyberete Změnit rozšířené nastavení napájení. Znovu se vám zobrazí nové okno. V něm si najděte položku Nastavení bezdrátového adaptéru a změníte hodnotu u položky Na baterie na hodnotu Maximální výkon.
  • Upozorňujeme, že notebooky zpravidla mají (často někde na boku) fyzický (v případě Windows 8 a vyšších i čistě softwarový) přepínač, kterým lze zcela zapnout nebo vypnout bezdrátový adaptér v počítači - v případě, kdy v seznamu síťových adaptérů při konfiguraci nevidíte žádný bezdrátový adaptér, doporučujeme zkontrolovat nastavení tohoto přepínače, a ujištění se, že je přepnut do polohy "zapnuto".
  • Před započetím konfigurace podle tohoto návodu striktně doporučujeme na počítač nainstalovat všechny dostupné důležité aktualizace! Jejich součástí totiž je mj. doinstalování a) potřebného kořenového certifikátu "USERTrust RSA Certification Authority", který je nezbytný pro úspěšné ověření autenticity RADIUS serveru, kterému uživatel při autentizaci předává své autentizační údaje b) možnosti pomocí grafického rozhraní odstranit již dříve ručně zkonfigurovaný profil bezdrátového připojení.

Postup nastavení

  1. Jděte na volbu Nastavit nové připojení nebo síť postupem uvedeným na následujícím obrázku (začněte buď stisknutím WinKey + I a kliknutím na volbu Ovládací panely v liště vpravo pokračujte přes Síť a Internet a Centrum síťových připojení a sdílení, nebo kliknutím pravým tlačítkem myši na ikonu sítí v pravém dolním rohu, a poté na Otevřít centrum síťových připojení a sdílení - obrázek ukazuje oba postupy):
  2. V nově zobrazeném okně Nastavit připojení nebo síť zvolte Ručně připojit k bezdrátové síti a klikněte na tlačítko Další.
  3. V poli Název sítě zadejte eduroam. V menu Typ zabezpečení zvolte WPA2-podnikové. V poli Typ šifrování se poté musí objevit AES (tj. nejvyšší stupeň zabezpečení, nutná je HW i SW podpora). Zaškrtněte Vytvořit připojení automaticky a pokračujte dále kliknutím na Další:
  4. Po přidání sítě klikněte na Změnit nastavení připojení:
  5. V záložce Připojení zaškrtněte Připojit automaticky, pokud je tato síť v dosahu a pokračujte kliknutím na záložku Zabezpečení:
  6. V záložce Zabezpečení upravte další nastavení podle následujícího obrázku:
    • v poli Typ zabezpečení vyberte WPA2-podnikové a v poli Typ šifrování vyberte AES,
    • zkontrolujte, že jako Metoda ověřování v síti je zvolen MicrosoftProtokol PEAP (Protected EAP) a pokračujte kliknutím na Nastavení (otevře se nové okno Vlastnosti protokolu Protected EAP),
    • zaškrtněte Ověřit identitu serveru ověřením certifikátu a ve výběru certifikátů zaškrtněte certifikát USERTrust RSA Certification Authority (pokud jej v seznamu nevidíte, pak pravděpodobně nemáte nainstalovány potřebné aktualizace. Dočasným řešením je certifikát doinstalovat. Jak, je uvedeno v sekci Podpora na stránce Informace),
    • zaškrtněte Připojit k těmto serverům a do pole hned pod touto volbou vepište radius1.unob.cz,
    • v poli Oznámení před připojením vyberte volbu Nežádat uživatele o autorizaci nových serverů nebo důvěryhodných certifikátů,
    • v poli Vyberte metodu ověřování zvolte Zabezpečené heslo (EAP-MSCHAP v2) a kliknutím na tlačítko Konfigurovat vyvolejte dialog vlastností. V něm odškrtněte Automaticky použít mé uživatelské jméno a heslo... a potvrďte kliknutím na OK,
    • zavřete okno Vlastnosti protokolu Protected EAP kliknutím na OK a pokračujte kliknutím na nové okno, viz níže, Upřesnit nastavení.
  7. V záložce Nastavení protokolu 802.1X zaškrtněte Zadejte režim ověřování a vyberte Ověření uživatele. V záložce Nastavení protokolu 802.11 zkontrolujte zaškrtnutí volby Povolit ukládání klíče PMK (Pairwise Master Key) do mezipaměti a klikněte na OK:
  8. Nyní můžete všechna dialogová okna zavřít. Pro úspěšné připojení, jak je popsáno dále, se musíte nacházet v blízkosti některého z přístupových bodů sítě eduroam. Klikněte levým tlačítkem myši na ikonu bezdrátové sítě v pravém dolním rohu (nebo stiskněte WinKey+I a v zobrazené liště dole klikněte na Dostupné). Ve vyvolaném okně Sítě v modrém pruhu vpravo vyberte síť eduroam, zaškrtněte Připojovat automaticky. K síti se připojíte kliknutím na Připojit:
  9. Pokud se z vašeho počítače připojujete poprvé nebo pokud jste si změnili heslo do ISUO, objeví se výzva k zadání jména a hesla.Uživatelské jméno (tzv. "identita") zadejte ve tvaru login@unob.cz, kde login je vaše přihlašovací jméno do ISUO. Heslo zadejte stejné, jaké používáte do ISUO.
V případě, že jste zadali správnou identitu i heslo, by se po kliknutí na OK mělo pod nápisem eduroam v seznamu sítí objevit Připojeno:
Windows 7

Předpoklady a varování

  • Upozorňujeme uživatele, že podpora Windows 7 definitivně skončila 10. ledna 2023 (Extended Security Updates program). Uživatel s takovým systémem se proto připojením k Internetu vystavuje rizikům, proto připojení zmíněného systému k síti Internet SILNĚ NEDOPORUČUJEME. Uživatel na sebe použitím automatického instalátoru nebo tohoto návodu bere veškerá bezpečnostní rizika.
  • Váš počítač musí být vybaven WiFi rozhraním, které splňuje základní technické požadavky pro přístup do bezdrátové sítě eduroam, tj. musí podporovat zabezpečení a autentizaci protokoly WPA2 a EAP-PEAP (tj. nabídka v poli "Typ zabezpečení" na kartě "Zabezpečení" - viz bod 3 níže - musí obsahovat volbu "WPA2-podnikové").
  • Konfiguraci síťového zařízení a samotného připojení provádíte nástroji standardně dostupnými ve Windows, nikoliv nástroji výrobce bezdrátové karty (tj. pokud konfigurační menu nevypadají tak, jak na screenshotech níže, nebo nenabízejí uvedené konfigurační volby, je potřeba zkontrolovat, zda není nainstalována nadstavbová podpora bezdrátových sítí od výrobce bezdrátové karty a pokud ano, pak ji odinstalovat nebo alespoň vypnout).
  • Na bezdrátovém rozhraní máte ve vlastnostech TCP/IP protokolu nastaveny volby - Získat adresu IP ze serveru DHCP automaticky - Získat adresu serveru DNS automaticky.
  • U notebooků se při probuzení počítače z režimu spánku v některých případech bezdrátové připojení nemusí znovu aktivovat. Pokud provozujete svůj notebook na baterie a máte jej nastavený na úsporný režim bezdrátového adaptéru, může se stát, že po delším ponechání notebooku v klidu se bezdrátový adaptér odpojí od sítě, případně sníží výkon, aby šetřil proud. Při požadavku na přístup do internetu se pak adaptér musí znovu připojit a to může zabrat nějaký čas. Tomuto chování můžete zabránit změnou nastavení úsporného režimu (po kliknutí pravým tlačítkem na ikonu baterie v pravém dolním rohu, vybrat Nastavení napájení (Power options). Vyskočí vám nové okno, kde si můžete vybrat režim. U režimu, který máte aktivní (při provozu na baterie nejčastěji Úsporný režim) klikněte na Změnit nastavení plánu, objeví se vám nové okno, ve kterém vyberete Změnit rozšířené nastavení napájení. Znovu se vám zobrazí nové okno. V něm si najděte položku Nastavení bezdrátového adaptéru a změníte hodnotu u položky Na baterie na hodnotu Maximální výkon.
  • Upozorňujeme, že notebooky zpravidla mají (často někde na boku) fyzický (v případě Windows 8 a vyšších i čistě softwarový) přepínač, kterým lze zcela zapnout nebo vypnout bezdrátový adaptér v počítači - v případě, kdy v seznamu síťových adaptérů při konfiguraci nevidíte žádný bezdrátový adaptér, doporučujeme zkontrolovat nastavení tohoto přepínače, a ujištění se, že je přepnut do polohy "zapnuto".
  • Před započetím konfigurace podle tohoto návodu striktně doporučujeme na počítač nainstalovat všechny dostupné důležité aktualizace! Jejich součástí totiž je mj. doinstalování a) potřebného kořenového certifikátu "USERTrust RSA Certification Authority", který je nezbytný pro úspěšné ověření autenticity RADIUS serveru, kterému uživatel při autentizaci předává své autentizační údaje ab) oprava software pro autentizaci (tzv. supplicanta), bez které i při zadání správných autorizačních údajů vůbec k připojení nedojde a místo toho se okno pro zadání autorizačních údajů objeví ihned znovu! .

Postup nastavení

  1. Jděte na volbu Spravovat bezdrátové sítě postupem uvedeným na následujícím obrázku (začněte buď kliknutím na nabídku Start, nebo kliknutím pravým tlačítkem myši na ikonu sítí v pravém dolním rohu - obrázek ukazuje oba postupy):
  2. Klikněte na Přidat:
  3. Zvolte Ručně vytvořit síťový profil:
  4. V poli Název sítě zadejte eduroam.V menu Typ zabezpečení zvolte WPA2-podnikové a v menu Typ šifrování zvolte AES (tj. nejvyšší stupeň zabezpečení, je nutná HW i SW podpora).Zaškrtněte Vytvořit připojení automaticky a pokračujte dále kliknutím na Další:
  5. Po přidání sítě přejděte na Změnit nastavení připojení:
  6. V záložce Připojení zaškrtněte Připojit automaticky, pokud je tato síť v dosahu:
  7. V záložce Zabezpečení upravte další nastavení podle následujícího obrázku:
    • v poli Typ zabezpečení vyberte WPA2-podnikové a v poli Typ šifrování vyberte AES,
    • zkontrolujte, že jako Metoda ověřování v síti je zvolen Microsoft: Protokol PEAP (Protected EAP) a pokračujte kliknutím na Nastavení (otevře se nové okno Vlastnosti protokolu Protected EAP),
    • zaškrtněte Ověřit certifikát serveru a ve výběru certifikátů zaškrtněte certifikát USERTrust RSA Certification Authority (pokud jej v seznamu nevidíte, pak pravděpodobně nemáte nainstalovány potřebné aktualizace. Dočasným řešením je certifikát doinstalovat. Jak, je uvedeno na stránce Informace v sekci Podpora),
    • zaškrtněte Připojit k těmto serverům a do pole hned pod touto volbou vepište radius1.unob.cz,
    • zaškrtněte Nezobrazovat výzvu k ověření nových serverů nebo důvěryhodných certifikačních autorit,
    • v poli Vyberte metodu ověřování v síti zvolte Zabezpečené heslo (EAP-MSCHAP v2) a kliknutím na tlačítko Konfigurovat vyvolejte dialog vlastností. V něm odškrtněte Automaticky použít mé uživatelské jméno a heslo... a potvrďte kliknutím na OK,
    • zavřete okno Vlastnosti protokolu Protected EAP kliknutím na OK a pokračujte kliknutím na nové okno, viz níže, Upřesnit nastavení.
  8. V záložce Nastavení protokolu 802.1X zaškrtněte Zadejte režim ověřování a vyberte Ověření uživatele nebo počítače. V záložce Nastavení protokolu 802.11 zaškrtněte Povolit ukládání klíče PMK (Pairwise Master Key) do mezipaměti a klikněte na OK:Následující je volitelné - lze to však provést i tehdy, pokud právě nemáte přístup k bezdrátové síti eduroam (uživatel se tak vyhne čekání na výzvu k zadání přihlašovacích údajů dle bodu 10) a na některých windows je to i jediná funkční volba: V záložce Nastavení protokolu 802.1X pod Zadejte režim ověřování můžete alternativně vybrat Ověření uživatele, následně vyplnit své přihlašovací údaje ve tvaru login@unob.cz a heslo a poté kliknout na Uložit pověření.
  9. Klikněte na ikonu sítě v pravém dolním rohu. Pokud se nacházíte v blízkosti některého z PŘÍSTUPOVÝCH BODů sítě eduroam, objeví se název této sítě v seznamu nalezených sítí, jak vidět z následujícího obrázku. Vyberte síť eduroam a pokud u něj nevidíte "Připojeno", pak klikněte na Připojit. Pokud vše řádně proběhne, mělo by to vše dopadnout tak, jak vidíte na obrázku.
  10. Pokud se z vašeho počítače připojujete poprvé nebo pokud jste si změnili heslo do ISUO, objeví se po volbě Připojit výzva k zadání jména a hesla. Uživatelské jméno zadejte ve tvaru login@unob.cz, kde login je vaše přihlašovací jméno do ISUO (např. novotnyp). Heslo zadejte stejné, jaké používáte do ISUO. Po kliknutí na OK by se měl status ikony v pravém dolním rohu po najetí kurzorem myši na něj změnit na Připojeno, jak vidíte na obrázku výše.Doporučujeme k přečtení na stránce Dotazy sekci K bezpečnostním rizikům.
Autor tohoto webu děkuje pracovníkům Centra informačních technologií z Vysoké školy báňské - Technické univerzity Ostrava za laskavé svolení s převzetím, úpravou a využitím ikon a screenshotů Windows 7.
GNU/Linux (obecný návod)

Předpoklady a varování

    • Návod předpokládá základní znalosti a schopnosti uživatele administrovat jím používanou Linuxovou distribuci, tj. administrátorská práva na počítači, schopnost instalovat a konfigurovat software, spouštět příkazy z příkazové řádky a základní schopnost uživatele samostatně se orientovat v této oblasti, a není proto určen úplným začátečníkům.
    • Návod popisuje použití příkazu wpa_supplicant, který přímo zajišťuje automatickou konfiguraci a řízení bezdrátového čipsetu pomocí tzv. wireless extensions API a autentizaci uživatele na bezdrátových AP zapojených v EDUROAM infrastruktuře. Z důvodu použitelnosti na co největším počtu Linuxových distribucí záměrně neobsahuje popis konfigurace v nadstavbových grafických prostředích (např. KDE nebo GNOME, Network Manager), neboť vzhled, verze a konfigurační postupy v těchto prostředích se mohou v jednotlivých Linuxových distribucích zásadně lišit.
    • Upozorňujeme, že notebooky zpravidla mají (často někde na boku) fyzický přepínač, kterým lze zcela zapnout nebo vypnout bezdrátový adaptér v počítači - pokud po zadání příkazu iwconfig nevidíte žádný bezdrátový adaptér, doporučujeme nejprve zkontrolovat nastavení zmíněného přepínače, a ujistit se, že je přepnut do polohy "zapnuto".
    • Je zcela nezbytné, aby na cílovém počítači byl(y):
      1. nainstalovány ovladače pro použitý bezdrátový adaptér (toto zpravidla zajistí sama použitá distribuce Linuxu při instalaci, kdy je automaticky rozpoznáván hardware počítače a instalují se pro něj příslušné ovladače - v opačném případě je nutné překonfigurovat a následně překompilovat moduly ovladačů v jádře tak, aby obsahovaly modul pro čipset požadovaného bezdrátového adaptéru). Adaptér by měl podporovat model zabezpečení WPA2 - tj. mít tzv. WiFi certifikaci (pokud notebook někde obsahuje nálepku si nápisem "WiFi", pak je WPA2 podporované). Adaptéry podporující model zabezpečení WPA jsou podporovány rovněž, ale vždy platí, že musí podporovat konfiguraci pomocí tzv. wireless extensions API, tj. být konfigurovatelné pomocí nástrojů wireless-tools, což je standardní set příkazů pro ovládání bezdrátových čipů v Linuxu. Zda je bezdrátový adaptér rozpoznán, zjistíme zadáním příkazu:

        iwconfig

        Ve výpisu musí být vidět bezdrátové rozhraní s názvem wlanX (kde X je číslo). Musíme však mít již nainstalovaný balík wireless-tools, jehož je iwconfig součástí. Současně tím také ověříme, zda náš bezdrátový adaptér podporuje konfiguraci pomocí wireless extensions API: pokud za rozhraním wlanX nenásleduje text "no wireless extensions", pak je vše v pořádku.
      2. nainstalován a spuštěn klient služby DHCP (software dhcpcd), který po připojení do bezdrátové sítě získá IP adresu počítače a IP adresy DNS serverů ze serveru DHCP. Doporučujeme zadáním

        dhcpcd --version

        zkontrolovat, že instalovaný dhcpcd je verze 5.X.X nebo vyšší z důvodu podpory tzv. carrier detection. Že dhcpcd běží, ověříme příkazem

        ps w -C dhcpcd

        Ten v kladném případě ukáže údaje o běžícím procesu dhcpcd, včetně argumentů, se kterými byl spuštěn.
      3. nainstalován software wpa_supplicant (doporučujeme verzi 0.7.3 nebo vyšší, rovněž níže uvedená konfigurace byla testována právě s uvedenou verzí). Po instalaci balíku wpa_supplicant lze použitou verzi zkontrolovat příkazem

        wpa_supplicant -v

      4. neběží vysokoúrovňový grafický správce síťových připojení NetworkManager.
        V případě, kdy běží a přejete si jej použít, můžete své síťové připojení nakonfigurovat dle informací uvedených v sekci Ostatní systémy níže.

        Pokud nemáte NetworkManager nainstalován nebo jej používat nechcete, pak pokračujte dále dle tohoto návodu.
        Nejprve je ale potřeba zajistit, aby NetworkManager neběžel - pokud totiž běží, pak okupuje komunikační socket wpa_supplicanta, takže byste wpa_supplicant nemohli přímo použít - proto musíte nejprve zajistit vypnutí NetworkManageru. To se liší v závislosti na typu inicializačního systému použitého ve vaší Linuxové distribuci (upstart, systemd, sysvinit, BSD), a proto pro jeho vypnutí budete muset vyhledat způsob, jak toto na vaší konkrétní distribuci provést.
        Typicky lze použít některé z těchto příkazů: u distribucí s upstart/SystemV (starší RedHaty, Debiany a jejich klony):

        sudo stop network-manager

        u distribucí se systemd (současný RedHat, Debian 8 a novější + klony):

        sudo systemctl stop NetworkManager.service
        sudo systemctl disable NetworkManager.service

        u distribucí s BSD boot skripty (Slackware):

        /etc/rc.d/rc.networkmanager stop
        chmod a-x /etc/rc.d/rc.networkmanager

Postup nastavení

Poznámka před vlastním postupem nastavení. Níže uvedené příkazy je potřeba spouštět v příkazové řádce linuxu s právy uživatele root. Většina současných distribucí však nedovoluje jejich přímé spouštění, ale dovolí obyčejnému, neprivilegovanému uživateli spouštět příkazy s právy roota pomocí příkazu sudo. Pokud se nejste schopni přilogovat se jako root, pak pravděpodobně před uvedené příkazy budete muset předřadit příkaz sudo, např. sudo cp ..., sudo chmod ... atd.

      1. Stáhněte si soubor s kořenovým a mezilehlým certifikátem ve formátu PEM pro ověření autenticity RADIUS serverů a uložte jej do adresáře /etc/ssl/certs.
      2. Stáhněte si konfigurační soubor wpa_supplicant.conf a uložte jej do adresáře /etc. Protože tento soubor bude obsahovat vaše autorizační údaje s heslem v čitelné podobě, zajistěte, aby jej mohl číst pouze uživatel root, zadáním příkazů

        chown root:root /etc/wpa_supplicant.conf
        chmod 0700 /etc/wpa_supplicant.conf

      3. Otevřete soubor wpa_supplicant.conf v textovém editoru a změňte v něm údaje IDENTITA a HESLO na své autentizační údaje (pozor, IDENTITA je ve tvaru login@unob.cz, a nikoliv jmeno.prijmeni@unob.cz!!!) a řiďte se přitom instrukcemi uvedenými v souboru.
      4. Ověřte, že se nacházíte v dosahu bezdrátové sítě UO zadáním příkazů

        ip link set wlan0 up
        iwlist wlan0 scan | grep eduroam

        Ve výsledném výpisu by se měl objevit alespoň 1krát identifikátor sítě (ESSID) eduroam. Tyto příkazy lze provést kdykoliv, kdy neběží wpa_supplicant. Doporučujeme je použít při prvotním odlaďování, aby byla jistota, že je vůbec možné se s AP spojit.
      5. Zahajte vlastní proces spojení s AP a autentizaci spuštěním příkazu wpa_supplicant s parametry:

        wpa_supplicant -D wext -i wlan0 -c /etc/wpa_supplicant.conf

        (wext znamená "použij wireless extensions", wlan0 je název rozhraní vaší bezdrátové karty a parametr -c určuje cestu ke konfiguračnímu souboru). Pokud autentizace proběhne úspěšně, měl by se nejpozději do asi půl minuty objevit následující výpis podobný tomuto (důležité části jsou červeně zvýrazněny):

        Trying to associate with 00:23:89:d2:13:f0 (SSID='eduroam' freq=2347 MHz)
        Association request to the driver failed
        Associated with 00:23:89:d2:13:f0
        CTRL-EVENT-EAP-STARTED EAP authentication started
        CTRL-EVENT-EAP-PROPOSED-METHOD vendor=0 method=25
        CTRL-EVENT-EAP-METHOD EAP vendor 0 method 25 (PEAP) selected
        CTRL-EVENT-EAP-PEER-CERT depth=2 subject='/C=US/ST=New Jersey,L=Jersey City,O=The USERTRUST Network/CN=USERTrust RSA Certification Authority'
        CTRL-EVENT-EAP-PEER-CERT depth=1 subject='/C=NL/O=GEANT Vereniging/CN=GEANT OV RSA CA 4'
        CTRL-EVENT-EAP-PEER-CERT depth=0 subject='/C=CZ/L=Brno/O=Univerzita obrany/CN=radius1.unob.cz'
        CTRL-EVENT-EAP-PEER-ALT depth=0 DNS:radius1.unob.cz
        EAP-MSCHAPV2: Authentication succeeded
        EAP-TLV: TLV Result - Success - EAP-TLV/Phase2 Completed
        CTRL-EVENT-EAP-SUCCESS EAP authentication completed successfully
        WPA: Key negotiation completed with 00:23:89:d2:13:f0 [PTK=CCMP GTK=CCMP]
        CTRL-EVENT-CONNECTED - Connection to 00:23:89:d2:13:f0 completed (auth) [id=0 id_str=]

        Důležitý je zejména poslední řádek - v případě úspěchu vždy začíná tagem CTRL-EVENT-CONNECTED. Příkaz přitom zůstane běžet. Jeho běh (a tím i odpojení od bezdrátové sítě) lze ukončit kdykoliv stisknutím CTRL+C.

        Pokud Váš DHCP klient funguje správně, měli byste do několika sekund nato získat IP adresu z DHCP serveru, což lze ověřit na jiném terminálu zadáním příkazu

        ip addr show dev wlan0

        nebo příkazem

        ifconfig wlan0

        Ve výpisu by měla být obsažena IP adresa začínající na 160.216.

        V případě neúspěšného spojení bude wpa_supplicant zkoušet proces nalezení vhodného AP a následného pokusu o autentizaci stále dokola. Kromě neustále pokračujícího výpisu bez CTRL-EVENT-CONNECTED je typickým příznakem (mimo jiné) následující skupina řádků, která se ve výpisu objevuje vždy na konci konkrétního neúspěšného pokusu o spojení:

        EAP-TLV: TLV Result - Failure
        CTRL-EVENT-EAP- FAILURE EAP authentication failed
        CTRL-EVENT-DISCONNECTED bssid=00:23:89:d2:13:f0 reason=0

        V takovém případě se ujistěte, že se nacházíte v dosahu bezdrátové sítě UO (viz výše), že jste zadali správné autorizační údaje do wpa_supplicant.conf a že nevypršela doba platnosti hesla, které jste zadali.

V případě potíží s konfigurací dle tohoto postupu se zaměstnanci Univerzity obrany mohou obrátit o radu na Bc. Jana Rafaje, tel. 44 3548.

Ostatní systémy

Pokud jste na těchto stránkách nenalezli postup pro konfiguraci vašeho zařízení, můžete jej zkusit zkonfigurovat za použití následujících obecně platných údajů. V takovém případě však upozorňujeme NA BEZPODMÍNEČNOU NUTNOST PŘI KONFIGURACI NASTAVIT OVĚŘOVÁNÍ PROTI NÍŽE UVEDENÉMU CERTIFIKÁTU A JMÉNU V NĚM (uvedený certifikát musíte do vašeho zařízení nejprve doinstalovat, pokud jej ve svém zařízení nemáte - jeho stažením z odkazu níže - a následně v konfiguraci zvolit ověřování proti jménu "radius1.unob.cz" v certifikátu) - V OPAČNÉM PŘÍPADĚ SE VYSTAVUJETE RIZIKU ZCIZENÍ VAŠICH AUTORIZAČNÍCH ÚDAJŮ!!! NE, OPRAVDU NESTAČÍ CERTIFIKÁT POUZE PŘIJMOUT, JAKMILE JEJ VAŠE ZAŘÍZENÍ NABÍDNE PŘED VÝZVOU NA ZADÁNÍ VAŠICH PŘIHLAŠOVACÍCH ÚDAJŮ (tzv. CERTIFICATE PINNING), NEBOŤ TOTO NEZARUČÍ, ŽE JSTE PŘI TOM NEPOVOLILI PODVRŽENÝ CERTIFIKÁT, ANI OVĚŘOVÁNÍ VŠECH JEHO VLASTNOSTÍ, KTERÉ ZARUČUJÍ BEZPEČNOST - TEDY JEHO PLATNOST, SPRÁVNÉ JMÉNO V CN CERTIFIKÁTU A SPRÁVNOU CERTIFIKAČNÍ AUTORITU!!! Pokud nastavení ověřování proti certifikátu a jménu v něm nelze nijak zajistit - typicky pokud zařízení není podporované některým z automatických konfigurátorů eduroam CAT nebo geteduroam (které jsou na mobilních zařízeních zpravidla jedinou možností, jak je správně nakonfigurovat), nebo zařízení při manuální konfiguraci nenabízí volbu kořenového certifikátu pro ověřování - např. zařízení se zastaralým systémem s nedostatečnou úrovní zabezpečení a obecně mnohé operační systémy nepodporované některým z uvedených konfigurátorů, nebo z nějakého důvodu nemůžete požadovaný certifikát do zařízení nainstalovat), pak doporučujeme TAKOVÉ ZAŘÍZENÍ PRO PŘÍSTUP K EDUROAMU NEPOUŽÍVAT!

  • Jméno bezdrátové sítě (ESSID): eduroam
  • Autentizační údaje: identita ve tvaru login@doména (např. novotnyp@unob.cz) a heslo
  • Kořenový certifikát: USERTrust RSA Certification Authority
  • Jméno autorizačního serveru v certifikátu: radius1.unob.cz
  • Zabezpečení: WPA2 (případně WPA) s 802.1X ("WPA2-Podnikové")
  • Protokoly: PEAP (verze 0), MSCHAP (verze 2)
  • V případě nutnosti zadat anonymní (vnější) identitu je potřeba ji nastavit stejnou jako skutečnou.