Eduroam

Jednoduchý popis fungování roamingu a mobility pro uživatele

Hlavní motivací pro vznik roamingu mezi organizacemi v rámci české NREN je bezesporu snaha umožnit uživatelům zcela transparentní přístup k síti v co možná největším počtu lokalit. Mít možnost dostat se na Internet nejen z univerzity, na které pracuji/studuji, ale i z jiné, kam jsem přijel jen na krátkou dobu, atp. To je cílem mobility a roamingu, který se neomezuje jen na ČR, na roamingu v současné době spolupracuje mnoho zemí v rámci celé EU.

Uvažujme modelovou situaci, kdy uživatel z organizace A přijede na návštěvu do organizace B a chce využívat její síť (tento model je nejvíce patrný na příkladu bezdrátových sítí, ale situace se musí chápat obecně - nejen wifi, ale i kabelové sítě, term inálové haly, …). Uživatel má pouze jedinou identitu (uživatelský účet vedený ve své domácí instituci) a s ní je schopen přihlášení do kterékoli spolupracující sítě. Celý systém je postaven tak, že na základě uživatelského jména jsou autentizační dotazy posílány do uživatelovy domovské sítě. Tam je rozhodnuto, zda je uživatel tím, za kterého se vydává, a zda má právo přístupu. Tato informace je přenesena zpět do navštívené sítě a přístupový mechanizmus (AP, switch, …) se podle ní zařídí - buďto uživatele do sítě vpustí nebo jeho požadavek zamítne. Pro funkci takto nastíněného systému jsou nezbytné dvě věci. Uživatelské jméno, které v sobě nese informaci, odkud uživatel pochází, a autentizační infrastruktura, která je schopna přenášet autentizační data. Tvar uživatelského jména má proto následující syntaxi: „jmeno@realm“. Jméno je běžné uživatelské jméno platné v rámci dané instituce a realm určuje, o jakou organizaci jde. Tento tvar je velmi podobný formátu adresy elektronické pošty a je podobný i významově. Konvence realmu je převzata ze systému DNS a je rovněž hierarchická. Pro organizace v rámci ČR končí realm koncovkou “.cz“. Příklad uživatelského jména zaměstnance CESNETu tedy může být novak@cesnet.cz. Hlavním úkolem autentizační infrastruktury (AAI - autentication and authorization infrastructure) je nasměrovat ověřovací údaje do domácí sítě daného uživatele a přenést odpověď zpět na systém, který se dotazuje. Toto vše učinit bezpečně a spolehlivě. V současné době je AAI tvořena stromovou hierarchií RADIUS serverů. Pro ověřování uživatelů pro přístup do sítě se v současné době používají tři hlavní mechanizmy:

Autentizace na bázi protokolu 802.1x

Tento způsob ověření je založen na schopnosti přístupového prvku (access point nebo switch) řídit provoz na jednotlivých portech. Uživatel se připojí k síti, ale veškerý datový provoz je blokován s výjimkou autentizačního protokolu. Klientský počítač (vybavený speciálním programem suplikant, který je schopen předávat autentizační data) pošle síťovému prvku informace o uživateli (jméno, heslo, případně certifikát nebo jiné autentizační údaje) a čeká na výsledek. Síťový prvek za dotáže přes autentizační infrastrukturu uživatelovy domácí sítě, zda jej může vpustit do sítě, a v závislosti na odpovědi buďto povolí nebo zablokuje přístup.

Uživatelský pohled

Před každou cestou, na které je plánováno využití služeb roamingu, je výhodné se detailně informovat o stavu na dané instituci. Zde je myšleno především jaký autentizační mechanizmus je použit, jaký je identifikátor sítě (SSID) - občas je potřeba jej zadat ručně, jaké je pokrytí signálem, atd. Není rovněž od věci požádat lokálního správce sítě o konzultaci a eventuální nastavení klientského počítače tak, aby byl připraven na podmínky v hostitelské síti. Snahou pochopitelně je, aby byl celý systém maximálně unifikovaný a jednoduchý, ale v počátcích tomu tak vždy být nemusí. Vlastní postup při připojení k síti pak závisí na použitém autentizačním mechanizmu.

Autentizace pomocí 802.1x

Zde je potřeba spustit program suplikant, který zajistí komunikaci s aktivním prvkem sítě. V některých operačních systémech je tento program již pevně zabudován a není potřeba ho doinstalovávat (WinXP). Do suplikantu se zadají přihlašovací údaje (jméno/heslo) a pak již vše závisí na průběhu ověření. Pokud vše proběhne v pořádku, je síť k dispozici a k použití.

Nastavení EDUROAM

Pro připojení potřebujete:

  1. Zařízení vybavené bezdrátovou technologií WiFi – radiová část odpovídá standardu 802.11, zařízení musí dále odpovídat platným zákonům a normám v ČR (viz Všeobecné oprávnění Českého telekomunikačního úřadu), síťová karta/zařízení podporuje WPA/WPA2 a autentizační protokol PEAP či EAP-TTLS, v rámci něho pak zašifrování hesla protokolem MSCHAPv2.
  2. Mít nastaveno samostatné heslo pro eduroam – k tomu je potřeba znát své školní uživatelské jméno a školní heslo. Eduroam heslo můžete kdykoliv nastavit na Intranetu. Po přihlášení na Intranet kliknete na své jméno (v pravém horním rohu), pak kliknete na odkaz Osobní údaje, v Nastavení osobních údajů kliknete na odkaz Nastavit heslo Eduroam a nastavte si heslo odlišné od školního hesla.
  3. Správně nakonfigurovat připojení k síti, tj. parametry z následující tabulky:

 

 jméno sítě (SSID)  eduroam
 uživatelské jméno  vaše_uživatelské_jméno@vsup.cz
 heslo  Vaše heslo nastavené pro eduroam
 typ připojení  WPA2-podnikové, šifrování AES
 ověření uživatele  bezpečný kanál PEAP či TTLS, ověření uživatele protokolem MSCHAPv2
 jméno autentizačního serveru  radius.vsup.cz
 CA certifikátu autentizačního serveru  DigiCert Assured ID Root CA

Při chybném nastavení prvních pěti parametrů se nepřipojíte. Pokud nenastavíte jméno autentizačního serveru a certifikační autoritu pro ověření důvěryhodnosti autentizačního serveru, tak může kdokoliv odchytávat a číst Vaši komunikaci na Internetu (sbírat hesla, číst Vaše zprávy, posílat údaje Vašim jménem, …).

Nastavení pomocí CAT

Organizace GÉANT (správce evropského eduroamu) ve spolupráci s organizacemi zapojenými do eduroam připravila konfigurační programy a konfigurační skripty pro různé operační systémy – eduroam Configuration Assistant Tool.

Konfigurační programy/skripty pro nastavení eduroam na Vysokou školu uměleckoprůmyslovou v Praze Na stránce cat.eduroam.org vyberte domovskou organizaci Vysoká škola uměleckoprůmyslová v Praze a poté se Vám nabídne stažení konfigurací/programů pro operační systémy. Podporovány jsou následující:

  • MS Windows 8 a novější
  • MS Windows 7
  • Apple device
  • Android 8 a novější
  • Android 4.3 do 7
  • Chrome OS
  • Linux

Poznámky:

  • Pro operační systémy MS Windows se stahuje konfigurační aplikace, která po spuštění nastaví parametry bezdrátové sítě eduroam.
  • Pro Apple OS X či Apple iOS se stahují konfigurační skripty, které umí operační systémy od firmy Apple zpracovat.
  • U Androidu si stáhnete z Google Play aplikaci eduroamCAT, která si poté stáhne parametry z cat.eduroam.org. U Androidu musíte mít nastaveno zamykání obrazovky (PIN, otisk prstu, …), jinak operační systém neumožní nastavit certifikační autoritu.
  • Linux – instalační skript pro bash.
„Ruční“ konfigurace bezdrátové sítě eduroam

Konfigurace šifrované sítě eduroam se velmi liší v závislosti na operačním systému. V rámci operačního systému se konfigurace liší i pro jednotlivé konfigurační programy pro WiFi a pro tzv. suplikanty.

Důležité upozornění – v návodech je někdy uvedeno ověření autorizačního serveru vůči jiným certifikačním autoritám – na příslušném místě je potřeba nastavit certifikační autoritu DigiCert Assured ID Root CA, popř. kontrolu certifikátu autorizačních serverů nenastavit. Ve většině operačních systémů je tento certifikát k dispozici, lze ho též stáhnout ze https://pki.cesnet.cz/cs/ch-tcs-ssl-ca-3-crt-crl.html

Návod pro MS Windows

Návody z EDUROAM

MS Windows XP přišly s systematickou podporou bezdrátových sítí. V základní verzi obsahují podporu 802.1x s podporou pro šifrování pomocí 128bit WEP. SP2 rozšířil šifrování i o silnější šifru WPA/TKIP. Konfigurace pro připojení je standardizovaná a popsaná v našem návodu. Někteří výrobci karet situaci poněkud komplikují tím, že dodávají specializovaný software pro nastavování své karty. Užitná hodnota tohoto software je mnohdy diskutabilní. Uživatel se musí rozhodnout, jestli bude používat standardní ovládání a nebo jestli mu lépe vyhovuje specializovaný software.

U Linuxu je situace lehce komplikovanější. Používání komplikují ovladače, které je nutné získat z různých zdrojů. Některé karty se v systému prezentují jako standardní rozhraní ethX (a jsou podporovány distribučními kernely), dalším častým označením je wlanX a jiné používají raX nebo athX. Toto označení lze navíc libovolně měnit nastavením udevu. Dále není standardizována ani situace u mechanizmu ověřování, připravili jsme pro vás návody pro XSupplicant a nověji pro WPA Supplicant.