|
Eduroam je projekt podpory internetové mobility studentů a akademických pracovníků. Eduroam.cz je zaštiťován společností CESNET. Do konsorcia Eduroam je zapojena i MFF UK, kdy jsou prostory fakulty pokryty bezdrátovým signálem sítě Eduroam v pásmech 2,4 a 5 GHz. Pro připojení je tedy zapotřebí vlastnit počítač vybavený rádiovou kartou (Wi-Fi) schopnou podpory WPA2 a klientský software (suplikant) umožňující ověření protokolem 802.1X.
Obecné parametry nastavení bez ohledu na použitý operační systém
- ESSID: eduroam
- Šifrování přenosu mezi zařízením a přístupovým bodem – šifrování TKIP s výměnou klíčů dle standardu WPA
- Ověření probíhá zašifrovaným tunelem (802.1x, na bázi SSL) mezi připojovacím bodem a ověřovacím serverem (Radius). Identita autorizačního serveru je ověřována jeho certifikátem.
- Zašifrované ověřovací údaje (jméno a heslo) jsou posílány prostřednictvím protokolu PEAP, heslo kódováno pomocí varianty EAP-MSCHAPv2.
- Certifikát ke stažení zde
- RADIUS servery: radius1.eduroam.cuni.cz, radius2.eduroam.cuni.cz
- Ověřovací údaje může získat každý, kdo je zaregistrován ve fakultním systému (má přiděleno osobní číslo). Heslo pro 802.1X si každý může nastavit v Autentizační službě UK. Uživatelské jméno při ověřování má tvar osobní_číslo@cuni.cz.
Návod pro zprovoznění pod Linuxem pomocí wpa_supplicantu
Potřebujeme podporu bezdrátového zařízení (čili fungující Wi-Fi kartu), software wpa_supplicant (dostupný buď z repozitáře distribuce nebo zde. Dále pak uživatelské jméno a heslo a kořenový certifikát v textovém formátu PEM. No a v neposlední řadě je zapotřebí superuživatelský přístup.
Základem je konfigurační soubor wpa_supplicantu, nechť je pojmenován /etc/eduroam/wpa_supplicant.conf a obsahuje následující řádky (řádky tučné je třeba modifikovat):
ctrl_interface=/var/run/wpa_supplicant
ctrl_interface_group=0
ap_scan=1
eapol_version=1
network={
priority=5
ssid="eduroam"
scan_ssid=1
proto=WPA RSN
key_mgmt=WPA-EAP
eap=PEAP
identity="osobní_číslo@cuni.cz"
password="vaše_heslo"
ca_cert="cesta_k_certifikátu_v_textovém_formátu_PEM"
altsubject_match="DNS:radius1.eduroam.cuni.cz;DNS:radius2.eduroam.cuni.cz"
phase1="peaplabel=0"
phase2="auth=MSCHAPV2"
}
|
Poté stačí poštvat wpa_supplicant na bezdrátové rozhraní (nejčastěji se jmenuje eth1 nebo wlan0, konzultujte výpis /sbin/ifconfig -a) příkazem
wpa_supplicant -Dwext -irozhraní -c/etc/eduroam/wpa_supplicant.conf,
kde wext je použitý ovladač standardní bezdrátové rozhraní linuxového jádra, možná potřebujete jiný, např. ndiswrapper nebo broadcom. Řetězec rozhraní nahraďte označením bezdrátového rozhraní (např. eth1).
Doběhne-li ověření do svého úspěšného konce (program to oznámí obvykle hlášením CTRL-EVENT-EAP-SUCCESS EAP authentication completed successfully, je možné získat adresu pro příslušné rozhraní pomocí DHCP klienta (např. dhclient rozhraní, konzultujte softwarové vybavení své distribuce).
Distribuce mají obvykle chytřejší způsob, jak nedělat všechnu práci ručně, pro přesnější informace se obraťte na dokumentaci své distribuce.
Příklad skriptu kombinujícího přihlášení a získání adresy přes DHCP, fungující v distribuci Fedora Core 8 s bezdrátovou kartou Intel 3945abg a wpa_supplicantem verze 0.5.7. Určitě bude vyžadovat alespoň částečnou modifikaci pro právě to vaše prostředí.
#!/bin/bash
# Script used for connection to Eduroam network using wpa_supplicant
# (c) 2008 Michal Svanda
# Distributed under GNU GPL v2
# Load variables defined system-wide, used also by other scripts
. /etc/rc.conf
# (contains something like
#WLAN_DRIVER="ipw3945"
#WLAN_DEVICE="wlan0"
#)
MAXATTEMPTS=30
TIMEOUT=5
WPA_SUPPLICANT="/usr/sbin/wpa_supplicant"
WPA_CLI="/usr/sbin/wpa_cli"
DHCLIENT="/sbin/dhclient"
case $1 in
"start")
# start wpa_supplicant in background (-B) mode and log (-f) results
$WPA_SUPPLICANT -Dwext -i$WLAN_DEVICE -c/etc/eduroam/wpa_supplicant.conf -t -B -f
# Test state
STATE=`$WPA_CLI status | grep "^wpa_state" | cut -d"=" -f2`
if [ -z $STATE ]
then
# supplicant has not started properly yet
STATE="nothing"
fi
ATTEMPT=1
# while autentization is not completed, we cannot obtain network address
while ((ATTEMPT < MAXATTEMPTS)) && [ $STATE != "COMPLETED" ]
do
sleep $TIMEOUT
STATE=`$WPA_CLI status | grep "^wpa_state" | cut -d"=" -f2`
if [ -z $STATE ]
then
STATE="nothing"
fi
((ATTEMPT = ATTEMPT + 1))
done
if ((ATTEMPT < MAXATTEMPTS))
then
# autentization was successful, we may try to obtain IP address
$DHCLIENT $WLAN_DEVICE
else
# autentization was not successful after specified time, time-out must occur
echo "It was not possible to autenticate to Eduroam network"
$0 stop
fi
;;
"stop")
killall dhclient
killall wpa_supplicant
rm /var/run/wpa_supplicant/$WLAN_DEVICE
# We need to restart driver because it is left in a strange state and is not able
# to connect without supplicant
/usr/local/sbin/stop_wifi.sh $WLAN_DRIVER
sleep 10
/usr/local/sbin/start_wifi.sh $WLAN_DRIVER
;;
"status")
ps -C wpa_supplicant > /dev/null
if [ $? -eq 1 ]
then echo "WPA_Supplicant is not running"
else $WPA_CLI status
fi
;;
*) echo "$0 [start|stop|status]"
esac
|
Návod pro zprovoznění pod Windows 98 nebo staršími
Bohužel se ukazuje, že to nelze. S tímto prastarým nebo ještě prastarejším grafickým DOSem
se prostě do Eduroamu nepřipojíte.
Návod pro zprovoznění pod Windows 2000
Chystá se.
Návod pro zprovoznění pod Windows XP
Chystá se, inspirovat se můžete na zde.
Návod pro zprovoznění pod Windows Vista
Chystá se, inspirovat se můžete na zde.
Návod pro zprovoznění pod MacOS X
Chystá se, inspirovat se můžete na zde.
| 
