eduroam
- Základní informace
- Jméno a heslo pro připojení k eduroam
- Nastavení počítače pro připojení k eduroam
- Přístupové body
- Informace pro hosty
Základní informace
Projekt eduroam vznikl v rámci programu TF-mobility asociace TERENA, jeho myšlenkou je umožnění transparentního používání sítí propojených organizací. Uživatelé se mohou připojit jejich přenosnými počítači jako host v cizí hostitelské organizaci k její lokální síti. Host se připojuje zpravidla pomocí wi-fi prostředků nebo poskytnutou pevnou linkou. K ověření (autentizaci) hosta stačí jeho účet (jméno a heslo nebo certifikát) v jeho domovské organizaci. Přípojné body v hostitelské organizaci umožní vzdálené ověření u domovské organizace hosta, kde je jeho účet. Vzdálené ověření se uskutečňuje přes internet zabezpečeným šifrovaným kanálem.
K účelu vzdáleného ověření je v eduroam vytvořeno hierarchické propojení autentizačních (radius) serverů. Každá organizace zapojená do eduroam musí mít pro tyto účely svůj radius server. Radius servery organizací v jednom státě jsou napojeny na národní proxy radius server. V České republice spravuje národní server organizace Cesnet. Tam také nalezneme informace o politice eduroam a seznam organizací propojených v České republice. Jednotlivé státy zastřešuje organizace eduroam.org, kde lze nalézt další informace. Např. zde nalezneme mapu připojených států, kde se po kliknutí dostaneme na stránky jejich zastřešujících eduroam organizací.
Nejpohodlnějším a nejčastějším připojením k eduroam v hostitelské organizaci jsou wi-fi přístupové body (AP - Access Points). Uživatel si na svém přenosném počítači spustí aplikaci Bezdrátové připojení k síti a zde z aktuálního seznamu bezdrátových sítí vybere síť, která se bude zpravidla jmenovat eduroam a k té se připojí. Hostitelská organizace zároveň určuje, jaká omezení nastaví uživatelům, kteří u nich budou připojeni k síti eduroam. Uživatelé mohou mít z bezpečnostních důvodů omezenější přístup k internetu a také budou mít omezený přístup k vnitřní lokální síti. Omezení je plně v kompetenci hostitelské organizace. Uživatelská přihlášení a odhlášení k síti eduroam jsou z bezpečnostních důvodů v hostitelské i domovské organizaci protokolována.
Jméno a heslo pro připojení k eduroam
Každá domovská organizace, která je připojena k mezinárodní síti eduroam, udržuje pro své členy účty pro připojení k této síti. Aby účty v rámci sítě eduroam byly z hlediska příslušnosti k organizaci lehce rozpoznatelné, používá se za jménem uživatele ještě přípona (realm). V případě ÚJF to je @ujf.cas.cz, je-li přidělené jméno pracovníkovi např. user, pak by jeho jméno pro připojení do sítě eduroam bylo user@ujf.cas.cz.
Pravidla pro používání sítě eduroam jsou definována roamingovou politikou této sítě. Uživatelé mají zejména následující povinnosti:
- Každý uživatel roamingu je povinen se řídit podmínkami roamingu hostující a domácí sítě a dále zásadami přijatelného užití akademické sítě CESNET.
- Každý uživatel roamingu je povinen okamžitě reagovat na výzvy a pokyny správy sítě hostující i domácí instituce a roamingového centra CESNETu.
- Každý uživatel roamingu je plně odpovědný za zneužití svých osobních údajů (heslo, certifikát, ...), umožňujících mu přístup do sítě.
Ze zásad přijatelného užití akademické sítě CESNET vyplývá, že uživatelé nesmějí používat tuto síť pro činnosti, které:
- Umožňují nebo snaží se získat neoprávněný přístup ke zdrojům připojených sítí.
- Porušují práva duševního vlastnictví.
- Nepříznivě působí na provoz sítě nebo jejích jednotlivých služeb, brání uživatelům v přístupu k těmto službám, ohrožují činnost sítě nebo nadměrně omezují její výkon.
- Plýtvají kapacitou sítě.
- Ničí integritu informací uložených v počítačích a ostatních síťových prvcích.
- Omezují soukromí uživatelů.
Zájemce z řad zaměstnanců ÚJF pošle email na adresu itu@ujf.cas.cz ve kterém potvrdí, že se seznámil s obsahem této stránky a roamingovou politikou eduroam zde. Následně obdrží vygenerované heslo mailem a potvrzené jméno user (shodné se jménem pro email).
Nastavení počítače pro připojení k eduroam
Z hlediska bezpečnosti je nutné mít na připojovaném zařízení nainstalovaný a nakonfigurovaný certifikát certifikační autority (CA). Díky němu dojde k ověření pravosti autentizačního serveru a tím se vyhnete možnému připojení k falešné/nastrčené wi-fi síti (nebo ethernet síti, pokud je k dispozici). Dávejte tedy pozor na případná varování ohledně důvěryhodnosti připojení, např.: „chyba ověření“, „oprávnění poskytnuté serverem se nepodařilo ověřit“, nebo „server xxx.yyy.zzz není konfigurován jako platný pro toto spojení“. V takovýchto případech se nepřipojujte a konzultujte vše prosím s centrálním IT ÚJF.
Pro připojení zařízení je nutné použít instalační balíčky, které vám nakonfigurují profil eduroam a provedou automaticky potřebná nastavení - https://get.eduroam.org/app/ nebo https://www.geteduroam.app/.
POZN.: pokud budete vyplňovat pole Anonymní identita, použijte opět své přihlašovací jméno ve formě user@ujf.cas.cz
Certifikáty ke stažení:
- GEANT_OV_RSA_CA_chain.pem - řetězec certifikátů
- GEANT_OV_RSA_CA.pem - samotný CA především pro mobilní zařízení
Přístupové body
V ÚJF jsou v současnosti provozovány pouze bezdrátové (wi-fi) přístupové body.
Jejich technické parametry jsou:
- Identifikátor wi-fi sítě SSID: eduroam
- Autentizace: 802.1x (EAP)
- Zabezpečení wi-fi: WPA2
- Šifrování wi-fi: AES
- IP adresy: IPv4, neveřejné, NAT
- Použitá zařízení: Cisco
Omezení připojení v síti eduroam:
- Některé odchozí služby mohou být blokovány firewallem
- Síť eduroam je oddělena od běžného síťového provozu ÚJF
- Do vnitřní sítě ÚJF jsou nastavena podobná omezení, jako pro běžného uživatele z Internetu.
- Uživateli je přidělena IP adresa, která z Internetu není vidět (je za NATem). Tomu také odpovídá omezení - na tento počítač není možné z Internetu navazovat spojení, lze pouze z počítače směrem do Internetu.
Seznam všech připojených míst v České republice najdete na www.eduroam.cz.
Seznam všech celosvětově připojených míst najdete na monitor.eduroam.org.
Název „eduroam“ a logo eduroam jsou registrované obchodní známky společnosti TERENA.
Informace pro hosty
Pokud se chcete k síti eduroam připojit, musíte splnit tři základní požadavky:
- Vaše domácí organizace musí být připojena k síti eduroam.
- Musíte mít svůj účet ve své domovské organizaci, který se používá pro připojení k síti eduroam. Obvykle jde o jméno a heslo nebo jméno a certifikát (záleží na vaší domovské organizaci). Zjistěte si prosím tyto informace ve své domovské organizaci.
- Musíte mít svůj notebook či jiné mobilní zařízení nastaveny pro připojení k síti eduroam. Spojení může být navázáno jen pomocí sítě wi-fi. Přečtěte si informace ve své domovské organizaci, jak nastavit operační systém v počítači.
Základní pravidla, která je nutné dodržovat, jsou popsána v kapitole Jméno a heslo pro připojení k eduroam výše.
Relevantní informace o síti eduroam naleznete na následujících webových zdrojích:
- Národní český portál Eduroam
- Mezinárodní portál Eduroam
- Eduroam Portal ve vaší domovské organizaci.