FJFI eduroam.cz logo

Eduroam & FJFI

Celoevropský projekt pro přístup (nejen) k WiFi sítím...

Projekt vznikl v rámci TERENA mobility TF a jeho hlavní myšlenkou je umožnit uživatelům transparentní používání propojených sítí. Motivací všech prací je, aby použití služeb sítě bylo tak snadné jako je používání roamingu mobilních operátorů. Uživatel má jediný účet (ve své domovské síti) a tento účet jej opravňuje k použití bezdrátové sítě kteréhokoliv člena projektu. Více informací...

Stručný návod pro připojení

Uživatelské jméno a heslo

Uživatelské jméno, které se používá v rámci pro ověřování totožnosti, se skládá ze dvou částí - vlastního jména a realm. Realm určuje domovskou organizaci pro konkrétního uživatele a v našem případě má tvar fjfi.cvut.cz. Celé uživatelské jméno má tedy tvar podobný emailové adrese jméno@fjfi.cvut.cz. Z těchto důvodů byla jako identifikace uživatelů na FJFI vybráno uživatelské jméno + realm username@fjfi.cvut.cz, což je mimochodem také platná emailová adresa. Podobně jako v případě mailu nezáleží na použití malých a velkých písmen (jméno i realm jsou brány case-insensitive).

Vzhledem k tomu, že nelze zaručit stejnou míru zabezpečení ve všech připojených organizacích, není možné využít některý z existujících autentizačních zdrojů. Musíte si tedy definovat nové heslo, které bude používáno výhradně pro přístup k sítím v rámci projektu eduroam.cz. Více informací...

Nastavení parametrů pro připojení

Veškerá nastavení jsou velimi dobře popsána na oficiálních stránkách projektu. Tam můžete nalézt návody jak připojit počítač s Windows, Linuxem (lokální) a Mac OS X. Abyste se mohli připojit, musí vaše zařízení a operační systém podporovat požadované bezpečnostní prvky. Více informací...

Pokrytí signálem

Na rok 2006 jsou schváleny finanční prostředky, které by mohly zajistit prakticky plné pokrytí všech budov, kde sídlí FJFI (Břehová, Trója, Trojanka, Děčín).

Změna: vzhledem k problemům s "levnými" Access Pointy jsme se dohodli, že raději pokryjeme pouze zajímavé prostory s CISCO Aironet 1240. Pokrytí ostatních prostor např. kancelaří zatím necháme na jednotlivých katedrách (s doporučením pro AP vhodné pro připojení do eduroamu).

Trojanova

Břehová

Troja

Děčín

Konfigurace klienta

Poslední položka v některých wireless klientech neexistuje (přístup do Eduroamu funguje s nižším zabezpečením proti MITM).

Windows

Postupujte dle oficiálního návodu.

Linux - CLI

Informace na této strance nemusí být zcela aktuální (z poloviny roku 2006) - začněte nejprve na oficiálních stránkách Eduroamu a teprve v případě problémů se můžete nechat inspirovat následujícím návodem.

Příklad konfigurace pro wpa_supplicant (testováno na verzi 0.4.6, 0.4.7, 0.4.8, s verze 0.5.1 obsahuje chybu v PEAP autentizaci, 0.5.2 už zas vypadá funkčně). Tučně zvýrazněné položky budete muset upravit podle udajů, které jsou na stránce pro zadávání eduroam hesla. Položka ca_cert se odkazuje na lokální kopii kořenového certifikátu AddTrust External CA Root.

ctrl_interface=/var/run/wpa_supplicant
ctrl_interface_group=0
eapol_version=1
ap_scan=2
fast_reauth=1

network={
    ssid="eduroam"
    key_mgmt=WPA-EAP
    # pokud není na AP nakonfigurováno WPA, je možné vyzkoušet IEEE8021X místo WPA-EAP
    eap=PEAP
    # proti některým radius serverům mužete také vyzkoušet TTLS misto PEAP
    pairwise=TKIP
    # někde možná bude fungovat i(nebo) CCMP místo TKIP
    proto=WPA
    identity="vase_eduroam_jmeno@fjfi.cvut.cz"
    password="vase_eduroam_heslo"
    ca_cert="/etc/pki/tls/certs/AddTrust_External_Root.pem"
    phase2="auth=MSCHAPV2"
}
Ke spuštění použijte například následující příkaz (pokud má vaše WiFi rozhraní jiné jméno než eth1 nebo používáte jiný driver než ndiswrapper, nahraďte tučně zvýrazněné části):
# pro ndiswrapper < 1.12
wpa_supplicant -Dndiswrapper -ieth1 -c/etc/wpa_supplicant.conf -d
# pro ndiswrapper >= 1.12
wpa_supplicant -Dwext -ieth1 -c/etc/wpa_supplicant.conf -d

dhclient eth1
# v některých distribucích jsou skripty "ifup eth1" resp. "ifdown eth1
# a odpovídající konfigurace v /etc/sysconfig/network-scripts/ifcfg-eth1"

Linux - GUI

Mac OS X

Tento návod pro Mac OS X (konkrétně verzi 10.3 - Panther) je odzkoušený a funkční. Lze ho použít i pro novější verze Mac OS X, kde se ale vzhled konfiguračních dialogů bude trochu lišit.

Konfigurace AP

Pokud chcete, aby byl Váš Access Point přístupný v rámci eduroam.cz, mužete postupovat dle následujícího návodu:

  1. AP musí podporovat authentizaci proti radius serveru (často pod označením 801.1x)
  2. Nastavte SSID na "eduroam"
  3. Nastavte zabezpečení (WEP nebo lépe WPA)
  4. Jako radius server vyplňte
    • radius1.fjfi.cvut.cz (primárně pro Trojanku)
    • radius2.fjfi.cvut.cz (primárně pro Břehovku)
  5. Port nastavte na 1812
  6. Secret na libovolný (náhodný) řetězec

Řetězec, který jste zvolili jako secret, mi předejte zabezpečeným způsobem, protože je nutné zadat ho do konfigurací radius serverů. Pro předání můžete například využít email zašifrovaným mým veřejným osobním certifikátem odeslaným na adresu vokac at kmlinux.fjfi.cvut.cz. Ještě bych rád upozornil, že klienti s nainstalovanými anglickými ovladači pravděpodobně neuvidí AP, pokud vysílá na kanálu 12 nebo 13.

Topologie Eduroamu

Topologie EduRoamu

Aktuální stav roamingu v ČR

Kontakt

Petr Vokáč

Pavel Kerouš

Míra Minárik