Bezdrátová síť Eduroam
(Aktualizováno 1.6.2020)
Vítejte na stránkách věnovaných projektu Eduroam. Jedná se o mezinárodní projekt zabývající se podporou mobility a roamingu v sítích národního výzkumu a vzdělávání (NREN). V české republice je projekt zastřešován sdružením CESNET. Seznam všech připojených organizací naleznete na adrese www.eduroam.cz
Více informací: https://www.eduroam.cz
Dotazy, připomínky zasílejte na: asistenti@sssvt.cz, nebo osobně v kab.04
Základní informace
Mobilita a roaming v rámci projektu eduroam jsou založeny na tom, že přístupové informace od uživatele jsou postupně předány organizaci, u níž má uživatel svůj účet (tzv. domovská organizace). Ta potom na základě informací o uživateli rozhodne, zda mu bude umožněn přístup do sítě.
Sítě začleňené do projektu eduroam jsou nejčastěji realizovány jako bezdrátové sítě (WiFi) podle standardu 802.11. Pro ověřování uživatelů se používá autentizace podle standardu 802.1x (tzv. network login).
V bezdrátových sítích (WiFi) v rámci projektu eduroam se používá standardizovaný identifikátor sítě (tzv. SSID). Pro sítě s autentizací podle standardu 802.1x je to SSID eduroam.
Aby mohl uživatel využívat služby roamingu, musí mít zřízen účet u organizace, která participuje na projektu eduroam a je připojena k autentizační infrastruktuře Eduroam.
V rámci projektu se jako identifikace používá uživatelské jméno a k němu se připojuje znak "@" a tzv.realm(doména). Příklad: novakjan@sssvt.cz. Vždy je nutné uvést celé uživatelské jméno včetně realmu (domény), protože právě realm se používá ke směrování autentizačních dotazů. Bez domény je uživatelské jméno platné pouze pro přihlašování ve vaší domovské organizaci.
Heslo pro eduroam
Vzhledem k tomu, že některé podporované autentizační mechanizmy nenabízejí dostatečnou ochranu uživatelského hesla, je vyžadováno používání tzv. sekundárního hesla pro eduroam. Primární heslo je to, kterým se uživatelé přihlašují do domény LITV a k dalším službám, které jsou ověřovány v doménách (např. elektronická pošta, apod.). Sekundární heslo je určeno pouze pro přihlašování uživatelů k sítím v rámci projektu eduroam. V případě jeho zneužití není ohroženo primární heslo do domény a uživatel si může bez problémů nastavit nové sekundární heslo.
Před tím, než může uživatel s platným účtem v doméně LITV začít využívat služeb v rámci projektu eduroam, musí si nastavit sekundární heslo.
Nastavení sekundárního hesla pro Eduroam
EDUROAM - CAT pro Windows 10 a další OS
Pro připojeni k síti eduroam je doporučeno použít automatické nastavení pomocí eduroam CAT – Configuration Assistant Tool. Program pro svůj operační systém si stáhnete ze stránek cat.eduroam.org. Při instalaci pouze zadáte své uživatelské jméno ve formátu prijmenijmeno@sssvt.cz a heslo eduroam, které si můžete nastavit na zde. Nastavení pomocí CAT je preferováno před manualním nastavením z důvodu jednoduchosti a bezpečnosti pro uživatele (všechny volby týkající se certifikátů, metod ověření a šifrování jsou již předvyplněny pro SSŠVT).
Bezpečné pohodlí s 802.1x - eduroam
Preferovanou a doporučenou možností je využítí autentizačního mechanizmu 802.1x, který využívá schopností AP (přístupových bodů) a popř. přepínačů ovládat provoz na svých portech na základě ověření uživatele. Takové zařízení komunikuje přímo s autentizačním serverem (RADIUS). Pro komunikaci mezi klientem (suplikant), aktivním síťovým prvkem (AP nebo switch) a RADIUS serverem se používá protokol EAP a jeho rozšíření. Tento systém umožňuje díky silnému šifrování bezpečné předávání citlivých dat (autentizačních informací) mezi jednotlivými komponentami. Po ověření uživatele se navíc v bezdrátových sítích používají protokoly WPA/WPA2, které zajišťují ochranu přenášených dat.
Velkou výhodou tohoto systému je to, že po prvotním nastavení už v podstatě není nutný zásah uživatele a po zapnutí bezdrátového zařízení, nebo připojení k síti je provedeno automatické přihlášení uživatele. Není nutné při každém připojení zadávat jméno a heslo. V bezdrátových sítích je pro tento typ autentizace vyhrazeno SSID (název sítě) eduroam.
nastavení protokolu Protected EAP
Připojit k těmto radius serverům: radius.sssvt.cz
Důvěryhodná certifikační autorita: DigiCert Global RootCA
Při postupování podle návodů na eduroam.cz je potřeba mít na paměti nastavení správné důvěryhodné certifikační autority a správného radius serveru pro naši organizaci.
Podporované služby
Povoleny jsou následující služby a protokoly ICMP:
| popis | port |
|---|---|
| Přenos souborů (aktivní i pasivní mód) | 21/tcp |
| Zabezpečený terminálový přístup | 22/tcp |
| Webové stránky | 80/tcp |
| Stahování pošty | 110/tcp |
| Přístup do poštovní schránky | 143/tcp |
| Zabezpečené webové stránky | 443/tcp |
| Zabezpečené odesílání pošty SMTPS | 465/tcp |
| ISAKMP | 500/udp |
| SMTP Submission | 587/tcp |
| Zabezpečený přenos souborů | 989,990/tcp |
| Zabezpečený přístup do poštovní schránky | 993/tcp |
| Zabezpečené stahování pošty | 995/tcp |
| Open VPN | 1194/udp |
| PPTP | 1723/tcp/udp |
| Windows Messenger | 1863/tcp |
| Vzdálená plocha (terminal services) | 3389/tcp |
| Kerio VPN | 4090/tcp |
| IPSec NAT Traversal | 4500/udp |
| Viber | 4244,5242/tcp |
| ICQ Client/Server | 5190/tcp |
| VNC Client | 5900/tcp |
| XMPP/XMPP over SSL | 5222,5223/tcp |
| Google play | 5228/tcp |
| Webové stránky (alt) | 8080/tcp |
| Protokoly IPSEC (PPTP,GRE) | --- |
Pro konfiguraci klientů se používá služba DHCP. Klientům jsou přidělovány adresy z rozsahu dle RFC1918 (privátní adresy) a ty jsou na firewallu překládány (PAT/NAPT) na veřejnou adresu.
Soukromá střední škola výpočetní techniky, Litvínovská 600, Praha 9. Síť je tvořena 8 access pointy Ruckus. Pokryt je celý objekt SSŠVT.
Kam dál?