E-mail | SIS | Moodle | Helpdesk | Knihovny | cuni.cz | CIS Více

česky | english Přihlášení



Jak se připojit

Logo Eduroam

Důležitá upozornění:

 

POZOR! Od 8.12.2014 je nutná úprava nastavení pro připojení do eduroamu pro uživatele Windows pomocí nového autokonfiguračního programu

 

- uživatelské jméno se zadává ve tvaru váš_login@natur.cuni.cz !POZOR login není jmeno.prijmeni!

- heslo je stejné jako do CASu (resp. do Vaší poštovní schránky, pokud se liší od hesla do CASu); nastavení hesla pro eduroam na stránkách ldap.cuni.cz se netýká naší fakulty - platí jenom pro realm @cuni.cz

- do kolonky doména se nic nezadává

- jméno RADIUS serveru pro PřF UK je iradius.natur.cuni.cz

- připojením do sítě se počítač může stát cílem útoků (a někdy i nevědomky dalším šiřitelem těchto útoků). Nezapomeňte si proto nainstalovat antivirový program, mít zapnutý firewall a pravidelně záplatovat operační systém

- dodržujte roamingovou politiku a Zásady práce pro provozování a používání výpočetní techniky na PřF UK. Její porušení, např. nelegální šíření obsahu přes bittorenty, je řešeno s RUK

 

Konfigurace šifrované sítě eduroam se velmi liší v závislosti na operačním systému. V rámci operačního systému se konfigurace liší i pro jednotlivé konfigurační programy pro WiFi a pro tzv. suplikanty. Následuje tabulka s odkazy na popisy konfigurace pro různé operační systémy:

operační systém  

Windows 8

Windows 7

Windows Vista

Pro uživatele s Windows Vista,  Windows 7 a Windows 8 je od 8.12.2014 k dispozici  nová utilitka pro automatickou konfiguraci připojení. Jediné, co musíte udělat, je spustit utilitku a poté zadat své přihlašovací údaje (váš_login@natur.cuni.cz + heslo do CASu !POZOR login není jmeno.prijmeni!). Program nevyžaduje administrátorská práva a nastaví vše potřebné.

Doporučované nastavení zabezpečení je WPA2-podnikové a typ šifrování AES (nejvyšší dostupný stupeň zabezpečení).

program pro WPA2/AES

POZOR! S WPA2/AES může být problém na starších počítačích. Pokud se nemůžete připojit, zkuste nastavení WPA/TKIP.

program pro WPA/TKIP

 

Windows XP

1. nainstalujte si do Windows USERTrust RSA Certification Authority. Při instalaci zvolte "Všechny certifikáty umístit v následujícím úložišti" a tlačítkem Procházet vyberte složku "Důvěryhodné kořenové certifikační autority".

instalovat

SHA1 otisk: EA:B0:40:68:9A:0D:80:5B:5D:6F:D6:54:FC:16:8C:FF:00:B7:8B:E3

SHA256 otisk: 1A:51:74:98:0A:29:4A:52:8A:11:07:26:D5:85:56:50:26:6C:48:D9:88:3B:EA:69:2B:67:B6:D7:26:DA:98:C5

2. postupujte podle návodu PDF a v seznamu důvěryhodných certifikačních autorit ve vlastnostech protokolu PEAP navíc zaškrtněte USERTrust RSA Certification Authority

Poznámka k Windows

Pokud se Vám podaří jednou úspěšně přihlásit do bezdrátové sítě, uloží si Windows do registrů uživatelské jméno i heslo. Při dalším připojení k bezdrátové síti již jméno a heslo zadávat nemusíte. To je sice určitou výhodou pro uživatele, ale velkým bezpečnostním rizikem, neboť:

  • Windows nenabízejí uživatelskou možnost vymazat jméno a heslo z registrů,
  • Pokud se někdo dostane k Vašemu notebooku, může se Vaším jménem přihlásit do bezdrátové sítě.

Proto velmi doporučujeme minimálně si zaheslovat přístup k notebooku (nastavit hesloa pro jednotlivé uživatele) tak, aby při každém spuštění počítače bylo vyžadováno zadání jména a hesla. Dalším doporučením je běžně nepoužívat uživatele administrator, ale používat uživatelské účty.

Následuje postup pro vymazaní uloženého jména a heslo - je to však na vlastní nebezpečí, neboť přímo pracujete s registry.

  • klikněte na tlačítko Start a zvolte Spustit...
  • do okénka Otevřít: napište regedit a klikněte na OK
  • vyhledejte klíč HKEY_CURRENT_USER\Software\Microsoft\EAPOL\UserEapInfo a vyberte ho,
  • v menu Úpravy klikněte na Odstranit a v následující nabídce potvrďte odstranění klíče (volba Ano)
  • ukončete Editor registru
Android

Android 4.1.1

Android 4.0

Android 2.2

 

Symbian Symbian S60v5 and S60v3 v ENG. Uživatelské jméno se zadává ve tvaru uzivatelske_jmeno@natur.cuni.cz - má tedy stejný tvar jako Vaše fakultní emailová adresa !POZOR login není jmeno.prijmeni! + heslo do CAS
iPhone, iPod Touch pro uživatele iPhone a iPod Touch je k dispozici konfigurační soubor. Ten si nahrajte do Vašeho iPhone (např. přes bluetooth nebo přístupem na tyto stránky přes GPRS, jinou WiFi) a spusťte. Uživatelské jméno se zadává ve tvaru uzivatelske_jmeno@natur.cuni.cz - má tedy stejný tvar jako Vaše fakultní emailová adresa !POZOR login není jmeno.prijmeni! + heslo do CAS. Od této chvíle se bude iPhone automaticky připojovat do sítě eduroam vždy, když bude tato síť v dosahu a iPhone bude potřebovat přístup na Internet.
Linux návody na Studentském webu

Ostatní OS

eduroam.cz

 

 

Technický způsob řešení:

Zabezpečení bezdrátové sítě eduroam lze rozdělit do čtyř bodů:

  1. Šifrování přenosu mezi zařízením a přístupovým bodem - v síti eduroam se používá šifrování AES/TKIP s výměnou klíčů dle standardu WPA2/WPA. Při asociaci zařízení/notebooku s přístupovým bodem (AP), si mezi sebou dohodnou klíč pro šifrovanou komunikaci, který se pravidelně (v podstatě s každým přeposlaným paketem) mění. Tím se zabraňuje útoku známému z předchůdce - protokolu WEP, kde se klíč neměnil a kde bylo možné po odchycení relativně malého množství paketů zjistit použitý klíč. Šifrování s výměnou klíčů se používá po celou dobu spojení zařízení/notebooku s přístupovým bodem.
  2. Do bezdrátové sítě nelze připojit kohokoliv, je potřeba autorizace uživatelů. Ve větších sítích je pro více přístupových bodů (AP) jeden či několik autorizačních serverů, na kterých se ověřují uživatelská jména a hesla (popř. certifikáty). Proto se vytváří šifrovaný tunel mezi zařízením a autorizačním serverem, obvykle na základě protokolu 802.1x, který je založen na protokolu SSL. Uživatel nemusí znát autorizační server - ví o něm obvykle přístupový bod. V rozsáhlých sítích, jako je Eduroam, je více autorizačních serverů, které si mezi sebou předávají autorizační požadavky. Šifrovaný tunel se vytvoří od zařízení k autorizačnímu serveru, který je schopen požadavek vyřídit. Pokud se např. na PřF připojí uživatel z Masarykovy univerzity v Brně (tj. přihlásí se s realmem @muni.cz), vytvoří se příslušný tunel od uživatelova notebooku k autorizačnímu serveru Masarykovy univerzity. Tento způsob vytváření tunelů umožňuje různé způsoby autorizace pro různé organizace zapojené v eduroam - někteří se mohou autorizovat jménem a heslem, jiní certifikátem. Po ukončení autorizace (výsledkem může být jak povolení přístupu, tak zamítnutí přístupu) se tento tunel ruší.
  3. Údaje posílané v šifrovaném tunelu mohou mít různý formát, nejčastěji se používá protokol PEAP. Existují i různé možnosti, jak v rámci tunelu poslat heslo - nejčastější varianta je EAP-MSCHAP v2.
  4. V bezdrátové síti může nastat jeden závažný problém - narušitel na vhodné místo umístí svůj přístupový bod (včetně autorizačního serveru), který bude též vysílat SSID eduroam. Uživatelé se k němu zkusí přihlásit, to se sice nepodaří, ale narušitel z pokusu získá uživatelské jméno a heslo. Aby se tomuto zabránilo, provádí se dva kroky:
    • uživatelé musí na svém zařízení/notebooku nastavit ručně některé parametry spojení (použítí konkrétních protokolů pro jednotlivé části připojení),
    • uživatel by měl kontrolovat, zda autorizační server je pro něho důvěryhodný. Zde se využívají zkušenosti s certifikáty a certifikačními autoritami - při vytvoření šifrovaného 802.1x tunelu mezi zařízením a autorizačním serverem posílá autorizační server zpět svůj certifikát podepsaný certifikační autoritou. V konfiguraci na notebooku lze nastavit, že se při připojení bude důvěřovat pouze autorizačním serverům se certifikátem podepsaným od určené certifikační autority.

Pro připojení potřebujete:

  • zařízení vybavené bezdrátovou technologií WiFi:
    • radiová část odpovídá standardu 802.11, rařízení musí dále odpovídat platných zákonům a normám v ČR (viz např. Všeobecné oprávnění Českého telekomunikačního úřadu),
    • síťová karta/zařízení podporuje WPA/WPA2 a autentizační protokol PEAP, v rámci PEAP pak EAP-MSCHAP v2.
  • znalost svého uživatelského jména a hesla do CASu (celouniverzitni heslo),
  • v utilitě pro konfiguraci bezdrátové síťové karty správně nakonfigurovat připojení k síti.

 

Název a logo eduroam jsou registrovanou ochrannou známkou společnosti TERENA

Akce dokumentů