E-mail | SIS | Moodle | Helpdesk | Knihovny | cuni.cz | CIS Více

česky | english Přihlášení



Jak se připojit

Logo Eduroam

 

POZOR! Od 5.12.2017 je nutná úprava nastavení pro připojení do eduroamu pro uživatele Windows pomocí nového autokonfiguračního programu

 

- připojením do sítě se počítač může stát cílem útoků (a někdy i nevědomky dalším šiřitelem těchto útoků). Nezapomeňte si proto nainstalovat antivirový program, mít zapnutý firewall a pravidelně záplatovat operační systém.

- dodržujte roamingovou politiku a Zásady práce pro provozování a používání výpočetní techniky na PřF UK. Její porušení, např. nelegální šíření obsahu přes bittorenty, je řešeno s RUK.

 

Nastavení mobilního zařízení se liší podle provozovaného operačního systému (OS) . V následující tabulce naleznete způsob nastavení pro jednotlivé OS:

 

operační systém  

Windows 10

Windows 8

Windows 7

Windows Vista

Doporučované nastavení zabezpečení je WPA2-podnikové a typ šifrování AES (nejvyšší dostupný stupeň zabezpečení).

Pro snadné nastavení si stáhněte tuto utilitku pro WPA2/AES

Pokud Vaše zařízení nepodporuje WPA2, můžete zkusit připojení přes WPA/AES

utilitka pro nastavení WPA/AES

Stáhněte si a spusťte utilitku, která vytvoří na počítači příslušný wifi profil, a poté zadejte do dialogového okna pro připojení do sítě eduroam své přihlašovací údaje ve tvaru váš_login@natur.cuni.cz + heslo do CASu!

POZOR login není jmeno.prijmeni! Login můžete zjistit přihlášením do ldap.cuni.cz, kde je uveden v sekci "Přihlašovací jméno" pod CAS číslem.

Pokud se stále nedaří připojit k síti eduroam, zkuste dočasně vypnout svůj antivirový program. Většina jich umožňuje vypnutí v řádu minut, poté se automaticky zapne.

 

Připojení přes WPA/TKIP nebude od 1.2.2018 kvůli možnosti útoku KRACK podporované.

Windows XP U Windows XP byla ukončena podpora ze strany Microsoftu.
Poznámka k Windows

Pokud se Vám podaří jednou úspěšně přihlásit do bezdrátové sítě, uloží si Windows do registrů uživatelské jméno i heslo. Při dalším připojení k bezdrátové síti již jméno a heslo zadávat nemusíte. To je sice určitou výhodou pro uživatele, ale velkým bezpečnostním rizikem, neboť:

  • Windows nenabízejí uživatelskou možnost vymazat jméno a heslo z registrů,
  • Pokud se někdo dostane k Vašemu notebooku, může se Vaším jménem přihlásit do bezdrátové sítě.

Proto velmi doporučujeme minimálně si zaheslovat přístup k notebooku (nastavit hesloa pro jednotlivé uživatele) tak, aby při každém spuštění počítače bylo vyžadováno zadání jména a hesla. Dalším doporučením je běžně nepoužívat uživatele administrator, ale používat uživatelské účty.

Následuje postup pro vymazaní uloženého jména a heslo - je to však na vlastní nebezpečí, neboť přímo pracujete s registry.

  • klikněte na tlačítko Start a zvolte Spustit...
  • do okénka Otevřít: napište regedit a klikněte na OK
  • vyhledejte klíč HKEY_CURRENT_USER\Software\Microsoft\EAPOL\UserEapInfo a vyberte ho,
  • v menu Úpravy klikněte na Odstranit a v následující nabídce potvrďte odstranění klíče (volba Ano)
  • ukončete Editor registru
Android

smazat stávající připojení eduroam

ve vlastnostech nového připojení eduroam nastavit

Metoda EAP = PEAP

Ověření

Fáze 2 = MSCHAPV2

Certifikát CA = (neurčeno)

Identita = váš_login@natur.cuni.cz

Anonymní identita = váš_login@natur.cuni.cz nebo anonymous@natur.cuni.cz

Heslo = vaše heslo do CAS

Apple zařízení

smazat původní profil v Nastavení->Profil->eduroam a ignorovat připojení v Nastavení->Wi-Fi->eduroam,

zvolit nalezenou síť eduroam v
Nastavení->Wi-Fi,

nastavit
Uživatel = váš_login@natur.cuni.cz

nastavit
Heslo = vaše heslo do CAS

na další obrazovce Certifikát zvolit Důvěřovat

 

Linux návody na Studentském webu

Ostatní OS

eduroam.cz

 

Obecné informace

- uživatelské jméno se zadává ve tvaru váš_login@natur.cuni.cz !POZOR login není jmeno.prijmeni!

- heslo je stejné jako do CASu (resp. do Vaší poštovní schránky, pokud se liší od hesla do CASu); nastavení hesla pro eduroam na stránkách ldap.cuni.cz se netýká naší fakulty - platí jenom pro realm @cuni.cz

- do kolonky doména se nic nezadává

- jméno RADIUS serveru pro PřF UK je iradius.natur.cuni.cz

 

Technický způsob řešení:

Zabezpečení bezdrátové sítě eduroam lze rozdělit do čtyř bodů:

  1. Šifrování přenosu mezi zařízením a přístupovým bodem - v síti eduroam se používá šifrování AES/TKIP s výměnou klíčů dle standardu WPA2/WPA. Při asociaci zařízení/notebooku s přístupovým bodem (AP), si mezi sebou dohodnou klíč pro šifrovanou komunikaci, který se pravidelně (v podstatě s každým přeposlaným paketem) mění. Tím se zabraňuje útoku známému z předchůdce - protokolu WEP, kde se klíč neměnil a kde bylo možné po odchycení relativně malého množství paketů zjistit použitý klíč. Šifrování s výměnou klíčů se používá po celou dobu spojení zařízení/notebooku s přístupovým bodem.
  2. Do bezdrátové sítě nelze připojit kohokoliv, je potřeba autorizace uživatelů. Ve větších sítích je pro více přístupových bodů (AP) jeden či několik autorizačních serverů, na kterých se ověřují uživatelská jména a hesla (popř. certifikáty). Proto se vytváří šifrovaný tunel mezi zařízením a autorizačním serverem, obvykle na základě protokolu 802.1x, který je založen na protokolu SSL. Uživatel nemusí znát autorizační server - ví o něm obvykle přístupový bod. V rozsáhlých sítích, jako je Eduroam, je více autorizačních serverů, které si mezi sebou předávají autorizační požadavky. Šifrovaný tunel se vytvoří od zařízení k autorizačnímu serveru, který je schopen požadavek vyřídit. Pokud se např. na PřF připojí uživatel z Masarykovy univerzity v Brně (tj. přihlásí se s realmem @muni.cz), vytvoří se příslušný tunel od uživatelova notebooku k autorizačnímu serveru Masarykovy univerzity. Tento způsob vytváření tunelů umožňuje různé způsoby autorizace pro různé organizace zapojené v eduroam - někteří se mohou autorizovat jménem a heslem, jiní certifikátem. Po ukončení autorizace (výsledkem může být jak povolení přístupu, tak zamítnutí přístupu) se tento tunel ruší.
  3. Údaje posílané v šifrovaném tunelu mohou mít různý formát, nejčastěji se používá protokol PEAP. Existují i různé možnosti, jak v rámci tunelu poslat heslo - nejčastější varianta je EAP-MSCHAP v2.
  4. V bezdrátové síti může nastat jeden závažný problém - narušitel na vhodné místo umístí svůj přístupový bod (včetně autorizačního serveru), který bude též vysílat SSID eduroam. Uživatelé se k němu zkusí přihlásit, to se sice nepodaří, ale narušitel z pokusu získá uživatelské jméno a heslo. Aby se tomuto zabránilo, provádí se dva kroky:
    • uživatelé musí na svém zařízení/notebooku nastavit ručně některé parametry spojení (použítí konkrétních protokolů pro jednotlivé části připojení),
    • uživatel by měl kontrolovat, zda autorizační server je pro něho důvěryhodný. Zde se využívají zkušenosti s certifikáty a certifikačními autoritami - při vytvoření šifrovaného 802.1x tunelu mezi zařízením a autorizačním serverem posílá autorizační server zpět svůj certifikát podepsaný certifikační autoritou. V konfiguraci na notebooku lze nastavit, že se při připojení bude důvěřovat pouze autorizačním serverům se certifikátem podepsaným od určené certifikační autority.

Pro připojení potřebujete:

  • zařízení vybavené bezdrátovou technologií WiFi:
    • radiová část odpovídá standardu 802.11, rařízení musí dále odpovídat platných zákonům a normám v ČR (viz např. Všeobecné oprávnění Českého telekomunikačního úřadu),
    • síťová karta/zařízení podporuje WPA/WPA2 a autentizační protokol PEAP, v rámci PEAP pak EAP-MSCHAP v2.
  • znalost svého uživatelského jména a hesla do CASu (celouniverzitni heslo),
  • v utilitě pro konfiguraci bezdrátové síťové karty správně nakonfigurovat připojení k síti.

 

Název a logo eduroam jsou registrovanou ochrannou známkou společnosti TERENA

Akce dokumentů