Základní informace o bezdrátové síti Eduroam

Co je EDUROAM?

Název eduroam je zkratkou z „educational roaming“ (tj. roaming mezi výzkumnými a vzdělávacími institucemi), a je to jméno celosvětového projektu, umožňujícího uživatelům převážně bezdrátový přístup k síti Internet prostřednictvím síťové infrastruktury zúčastněných institucí. Uživatel se s autorizačními údaji, vydanými institucí zapojenou do tohoto projektu, může připojit k síti Internet prostřednictvím kterékoliv instituce, která služby eduroam poskytuje.

Síť eduroam sdružuje vzdělávací instituce po celém světě a její provoz je na území České republiky koordinován a zaštiťován sdružením CESNET. Myšlenka umožnit uživatelům transparentní používání propojených sítí vznikla v rámci TERENA mobility Task Force. Základní motivací je, aby použití služeb sítě bylo tak snadné jako je používání roamingu mobilních operátorů.

Důležité informace pro ppoužívání bezdrátové sítě EDUROAM

Přístupové údaje

Identita:login@unob.cz
Heslo:(přidělené k loginu)

Poznámka: svůj login uživatel zjistí ze svých Informací pro prvotní přihlášení. Identita NENÍ e-mailová adresa!

 

Bezdrátová síť

ID sítě (ESSID):eduroam
Kmitočtová pásma:2,4GHz (802.11G), 5GHz (802.11A)
Bezpečnost v bezdr. síti:protokol WPA2 (RSN)
Autentizační model:802.1X (WPA2-Enterprise)
Autentiz. údaje přenáší:protokol EAP-MSCHAPv2
Zapouzdření EAP-MSCHAPv2:protokol PEAPv0
Kořenový certifikát:UserTrust RSA Certification Authority
Jméno serveru v certifikátu:radius1.unob.cz

Pravidla pro užívání bezdrátové sítě EDUROAM

Uživatel, kterému byly přiděleny autentizační údaje Univerzitou obrany, prohlašuje, že si je vědom vlastní zodpovědnosti za jakékoliv použití přidělených přístupových údajů i použití jakýchkoliv zařízení, která k bezdrátové počítačové síti (dále jen „síť“) připojuje, nevyjímaje jakoukoliv aktivitu, kterou za použití těchto prostředků vyvíjí, a zavazuje se respektovat Obecné zásady používání bezdrátové počítačové sítě v podmínkách UO:

  • své přístupové údaje (login a heslo) neposkytne třetí osobě, a provede veškerá opatření pro zajištění ochrany těchto údajů před zcizením
  • na zařízení připojeném k počítačové síti UO (dále jen „připojené zařízení“) nebude zaznamenávat, ukládat ani zpracovávat utajované informace dle zákona 412/2005 Sb. o ochraně utajovaných informací a o bezpečnostní způsobilosti, ani informace označené PRO SLUŽEBNÍ POTŘEBU (NATO UNCLASSIFIED a EU LIMITE) a je si vědom následků při porušení zásad ochrany utajovaných informací a určených neutajovaných informací
  • připojené zařízení nebude používat k nelegálnímu šíření kopií děl chráněných autorskými zákony, ani na něm provádět jakoukoliv jinou činnost, která je v rozporu se zákony České Republiky
  • bude dodržovat podmínky přístupu stanovené v Zásadách pro přístup do Velké infrastruktury CESNET a respektovat pravidla přístupu (Acceptable Use Policies – AUP) stanovená institucemi připojenými do Národní sítě výzkumu a vzdělávání CESNET2, do které je Univerzita Obrany připojená
  • si je vědom, že nerespektování zde uvedených požadavků může vést k odpojení od sítě, kázeňskému řešení a jiným postihům v závislosti na závažnosti provinění

Uživatel bere na vědomí, že použití komunikačních a výpočetních prostředků v prostorách UO nebo jejich připojení k počítačové síti může podléhat schválení.

Konfigurace připojení k eduroam - mobilní operační systémy

Návod pro Andriod

U zařízení vybavenými operačním systémem Android je nutné využít instalační nástroj GetEduroam. V případě, že uživatel nevyužije tuto aplikaci, vzniká riziko úniku dat! Jestliže uživatel disponuje systémem Android 8 a starší, tyto systémy již nejsou podporovány a nedoporučujeme takové zařízení využívat. Z tohoto důvodu již neposkytujeme na tato zařízení návod. 

Pro prvnotní stažení aplikace je nutné mít připojení k internetu (například mobilní hotspot).

Návod pro Iphone

Zařízení Iphone kvůli bezpečnosti neumí implicitně používat nástroje 3. strany k importu certifikátů do zařízení. U těchto zařízení je nutné konfiguraci stáhnout z následujícího odkazu https://cat.eduroam.org/

Pro prvnotní stažení aplikace je nutné mít připojení k internetu (například mobilní hotspot).

Konfigurace připojení k eduroam - desktopové operační systémy

Návod pro Windows

U zařízení vybavenými operačním systémem Windows 10, 11 je nutné využít instalační nástroj GetEduroam. V případě, že uživatel nevyužije tuto aplikaci, vzniká riziko úniku dat! V případně, že uživatel využívá jiného operačního systémuWindows XP,  7, 8, je užívání těchto operačních systémů značným rizikem z důvodu již nedodávané podpory ze strany Microsoft. Z těchto důvodů jsme se rozhodli již neposkytovat návod na konfiguraci připojení na tato zařízení.

Pro prvnotní stažení aplikace je nutné mít připojení k internetu (například mobilní hotspot).

Návod pro MacOS

Zařízení s operačním systémem macOS nedisponují z důvodu bezpečnostní politiky výrobce možností instalovat certifikáty z aplíkací třetích stran. Je tedy nutné postupovat dle videonávodu. Je nutné stáhnout si configurační soubor z https://cat.eduroam.org/Pro prvnotní stažení aplikace je nutné mít připojení k internetu (například mobilní hotspot). 

Návod pro Linux

  • Návod předpokládá základní znalosti a schopnosti uživatele administrovat jím používanou Linuxovou distribuci, tj. administrátorská práva na počítači, schopnost instalovat a konfigurovat software, spouštět příkazy z příkazové řádky a základní schopnost uživatele samostatně se orientovat v této oblasti, a není proto určen úplným začátečníkům.
  • Návod popisuje použití příkazu wpa_supplicant, který přímo zajišťuje automatickou konfiguraci a řízení bezdrátového čipsetu pomocí tzv. wireless extensions API a autentizaci uživatele na bezdrátových AP zapojených v EDUROAM infrastruktuře. Z důvodu použitelnosti na co největším počtu Linuxových distribucí záměrně neobsahuje popis konfigurace v nadstavbových grafických prostředích (např. KDE nebo GNOME, Network Manager), neboť vzhled, verze a konfigurační postupy v těchto prostředích se mohou v jednotlivých Linuxových distribucích zásadně lišit.
  • Upozorňujeme, že notebooky zpravidla mají (často někde na boku) fyzický přepínač, kterým lze zcela zapnout nebo vypnout bezdrátový adaptér v počítači – pokud po zadání příkazu iwconfig nevidíte žádný bezdrátový adaptér, doporučujeme nejprve zkontrolovat nastavení zmíněného přepínače, a ujistit se, že je přepnut do polohy „zapnuto“.
  • Je zcela nezbytné, aby na cílovém počítači byl(y):
  1.  nainstalovány ovladače pro použitý bezdrátový adaptér (toto zpravidla zajistí sama použitá distribuce Linuxu při instalaci, kdy je automaticky rozpoznáván hardware počítače a instalují se pro něj příslušné ovladače – v opačném případě je nutné překonfigurovat a následně překompilovat moduly ovladačů v jádře tak, aby obsahovaly modul pro čipset požadovaného bezdrátového adaptéru). Adaptér by měl podporovat model zabezpečení WPA2 – tj. mít tzv. WiFi certifikaci (pokud notebook někde obsahuje nálepku si nápisem „WiFi“, pak je WPA2 podporované). Adaptéry podporující model zabezpečení WPA jsou podporovány rovněž, ale vždy platí, že musí podporovat konfiguraci pomocí tzv. wireless extensions API, tj. být konfigurovatelné pomocí nástrojů wireless-tools, což je standardní set příkazů pro ovládání bezdrátových čipů v Linuxu. Zda je bezdrátový adaptér rozpoznán, zjistíme zadáním příkazu: iwconfig. Ve výpisu musí být vidět bezdrátové rozhraní s názvem wlanX (kde X je číslo). Musíme však mít již nainstalovaný balík wireless-tools, jehož je iwconfig součástí. Současně tím také ověříme, zda náš bezdrátový adaptér podporuje konfiguraci pomocí wireless extensions API: pokud za rozhraním wlanX nenásleduje text „no wireless extensions“, pak je vše v pořádku.
  2.  nainstalován a spuštěn klient služby DHCP (software dhcpcd), který po připojení do bezdrátové sítě získá IP adresu počítače a IP adresy DNS serverů ze serveru DHCP. Doporučujeme zadáním

    dhcpcd –version

    zkontrolovat, že instalovaný dhcpcd je verze 5.X.X nebo vyšší z důvodu podpory tzv. carrier detection. Že dhcpcd běží, ověříme příkazem

    ps w -C dhcpcd

    Ten v kladném případě ukáže údaje o běžícím procesu dhcpcd, včetně argumentů, se kterými byl spuštěn.

  3.  nainstalován software wpa_supplicant (doporučujeme verzi 0.7.3 nebo vyšší, rovněž níže uvedená konfigurace byla testována právě s uvedenou verzí). Po instalaci balíku wpa_supplicant lze použitou verzi zkontrolovat příkazem

    wpa_supplicant -v

  4.  neběží vysokoúrovňový grafický správce síťových připojení NetworkManager.
    V případě, kdy běží a přejete si jej použít, můžete své síťové připojení nakonfigurovat dle informací uvedených v sekci Ostatní systémy níže.

    Pokud nemáte NetworkManager nainstalován nebo jej používat nechcete, pak pokračujte dále dle tohoto návodu.
    Nejprve je ale potřeba zajistit, aby NetworkManager neběžel – pokud totiž běží, pak okupuje komunikační socket wpa_supplicanta, takže byste wpa_supplicant nemohli přímo použít – proto musíte nejprve zajistit vypnutí NetworkManageru. To se liší v závislosti na typu inicializačního systému použitého ve vaší Linuxové distribuci (upstart, systemd, sysvinit, BSD), a proto pro jeho vypnutí budete muset vyhledat způsob, jak toto na vaší konkrétní distribuci provést.
    Typicky lze použít některé z těchto příkazů: u distribucí s upstart/SystemV (starší RedHaty, Debiany a jejich klony):

    sudo stop network-manager.

    u distribucí se systemd (současný RedHat, Debian 8 a novější + klony):

    sudo systemctl stop NetworkManager.service
    sudo systemctl disable NetworkManager.service


    u distribucí s BSD boot skripty (Slackware):

    /etc/rc.d/rc.networkmanager stop
    chmod a-x /etc/rc.d/rc.networkmanager

Postup nastavení

Poznámka před vlastním postupem nastavení. Níže uvedené příkazy je potřeba spouštět v příkazové řádce linuxu s právy uživatele root. Většina současných distribucí však nedovoluje jejich přímé spouštění, ale dovolí obyčejnému, neprivilegovanému uživateli spouštět příkazy s právy roota pomocí příkazu sudo. Pokud se nejste schopni přilogovat se jako root, pak pravděpodobně před uvedené příkazy budete muset předřadit příkaz sudo, např. sudo cp …, sudo chmod … atd.

  1. Stáhněte si soubor s kořenovým a mezilehlým certifikátem ve formátu PEM pro ověření autenticity RADIUS serverů a uložte jej do adresáře /etc/ssl/certs.

  2. Stáhněte si konfigurační soubor wpa_supplicant.conf a uložte jej do adresáře /etc. Protože tento soubor bude obsahovat vaše autorizační údaje s heslem v čitelné podobě, zajistěte, aby jej mohl číst pouze uživatel root, zadáním příkazů

    chown root:root /etc/wpa_supplicant.conf
    chmod 0700 /etc/wpa_supplicant.conf

  3. Otevřete soubor wpa_supplicant.conf v textovém editoru a změňte v něm údaje IDENTITA a HESLO na své autentizační údaje (pozor, IDENTITA je ve tvaru login@unob.cz, a nikoliv jmeno.prijmeni@unob.cz!!!) a řiďte se přitom instrukcemi uvedenými v souboru.

  4. Ověřte, že se nacházíte v dosahu bezdrátové sítě UO zadáním příkazů
    ip link set wlan0 up
    iwlist wlan0 scan | grep eduroam

    Ve výsledném výpisu by se měl objevit alespoň 1krát identifikátor sítě (ESSID) eduroam. Tyto příkazy lze provést kdykoliv, kdy neběží wpa_supplicant. Doporučujeme je použít při prvotním odlaďování, aby byla jistota, že je vůbec možné se s AP spojit.

  5. Zahajte vlastní proces spojení s AP a autentizaci spuštěním příkazu wpa_supplicant s parametry:
    wpa_supplicant -D wext -i wlan0 -c /etc/wpa_supplicant.conf
    (wext znamená „použij wireless extensions“, wlan0 je název rozhraní vaší bezdrátové karty a parametr -c určuje cestu ke konfiguračnímu souboru). Pokud autentizace proběhne úspěšně, měl by se nejpozději do asi půl minuty objevit následující výpis podobný tomuto (důležité části jsou červeně zvýrazněny):

    Trying to associate with 00:23:89:d2:13:f0 (SSID=’eduroam‘ freq=2347 MHz)Association request to the driver failed
    Associated with 00:23:89:d2:13:f0
    CTRL-EVENT-EAP-STARTED EAP authentication started
    CTRL-EVENT-EAP-PROPOSED-METHOD vendor=0 method=25
    CTRL-EVENT-EAP-METHOD EAP vendor 0 method 25 (PEAP) selected
    CTRL-EVENT-EAP-PEER-CERT depth=2 subject=’/C=US/ST=New Jersey,L=Jersey City,O=The USERTRUST Network/CN=USERTrust RSA Certification Authority‘
    CTRL-EVENT-EAP-PEER-CERT depth=1 subject=’/C=NL/O=GEANT Vereniging/CN=GEANT OV RSA CA 4′
    CTRL-EVENT-EAP-PEER-CERT depth=0 subject=’/C=CZ/L=Brno/O=Univerzita obrany/CN=radius1.unob.cz‘
    CTRL-EVENT-EAP-PEER-ALT depth=0 DNS:radius1.unob.cz
    EAP-MSCHAPV2: Authentication succeeded
    EAP-TLV: TLV Result – Success – EAP-TLV/Phase2 Completed
    CTRL-EVENT-EAP-SUCCESS EAP authentication completed successfully
    WPA: Key negotiation completed with 00:23:89:d2:13:f0 [PTK=CCMP GTK=CCMP]
    CTRL-EVENT-CONNECTED – Connection to 00:23:89:d2:13:f0 completed (auth) [id=0 id_str=]

    V případě potíží s konfigurací dle tohoto postupu se zaměstnanci Univerzity obrany mohou obrátit o radu na Bc. Jana Rafaje, tel. 44 3548.

    Důležitý je zejména poslední řádek – v případě úspěchu vždy začíná tagem CTRL-EVENT-CONNECTED. Příkaz přitom zůstane běžet. Jeho běh (a tím i odpojení od bezdrátové sítě) lze ukončit kdykoliv stisknutím CTRL+C.

    Pokud Váš DHCP klient funguje správně, měli byste do několika sekund nato získat IP adresu z DHCP serveru, což lze ověřit na jiném terminálu zadáním příkazu

    ip addr show dev wlan0

    nebo příkazem

    ifconfig wlan0

    Ve výpisu by měla být obsažena IP adresa začínající na 160.216.

    V případě neúspěšného spojení bude wpa_supplicant zkoušet proces nalezení vhodného AP a následného pokusu o autentizaci stále dokola. Kromě neustále pokračujícího výpisu bez CTRL-EVENT-CONNECTED je typickým příznakem (mimo jiné) následující skupina řádků, která se ve výpisu objevuje vždy na konci konkrétního neúspěšného pokusu o spojení:

    EAP-TLV: TLV Result – Failure
    CTRL-EVENT-EAP- FAILURE EAP authentication failed
    CTRL-EVENT-DISCONNECTED bssid=00:23:89:d2:13:f0 reason=0

    V takovém případě se ujistěte, že se nacházíte v dosahu bezdrátové sítě UO (viz výše), že jste zadali správné autorizační údaje do wpa_supplicant.conf a že nevypršela doba platnosti hesla, které jste zadali.

Další informace

Kontakty na technickou podporu OKIS

  • prap. Ing. Marian Jačo
  • +420 973 443 708
  • marian.jaco@unob.cz

Informační zdroje