![[AUTH]](/icons/b/wifi6.png) Připojování přenosných počítačů na Ethernet a WiFi/WPA
Připojování notebooků a podobných zařízení na lokální
počítačovou síť pomocí kabelu je povoleno pouze na vyhrazených místech -
v současné době v učebnách M103 a M104.
V žádném případě není dovoleno odpojovat školní počítače od sítě
a používat tyto přípojky pro vlastní notebooky (připojení vám nebude fungovat).
Připojení na WiFi lze realizovat všude, kde dosáhne signál, žádný přístupový
bod nemá přístup omezen.
Přístup k počítačové síti je autentizován protokolem IEEE 802.1X (často označováno také 802.1x Enterprise) a Radius serverem.
Stejný typ autentizace je také použit pro přístup k WiFi síti SSID eduroam
(pro VUTBRNO funguje pouze Web autentizace).
Pro autentizaci je použitelný PEAP (Protected EAP) s ověřením
hesla protokolem MSCHAPv2 (preferováno), EAP-TTLS s ověřením hesla protokolem PAP
nebo EAP-TLS (autentizace klientským certifikátem). Protože je heslo
v prvních dvou případech uloženo na straně Radius serveru v otevřené podobě,
nelze pro autentizaci v žádném případě používat standardní hesla
do Unixu, IS FIT nebo VUTlogin. Speciální heslo pro autentizaci
serverem Radius si musíte vygenerovat v IS FIT (Nastavení hesla
pro Radius server). V systémech Windows nebo Mac OS X je stačí
zadat jednou, poté je automaticky zapamatováno a použito při následující
autentizaci. V systémech Linux lze použít buď nástroje dodávané v
distribuci jako součást desktopu nebo použít standardní nástroj wpa_supplicant s ruční konfigurací.
Oteřete okno Síťová připojení (Network Connections) a pravým tlačítkem
přes menu vyberte Vlastnosti (Properties) síťové karty, přes
kterou chcete komunikovat. Vyberte záložku Ověřování (Authentication).
Pokud není záložka Ověřování zobrazena, pravděpodobně nemáte
spuštěnou službu Automatická konfigurace bezdrátových zařízení (Wireless Zero Configuration): Start->Spustit: services.msc
Najděte tuto službu a povolte její automatické spuštění, případně ji také ručně spusťte).
V případě drátového připojení spusťte stejným postupem službu Automatická konfigurace pevné sítě (Wired AutoConfig).
Nastavte konfiguraci podle obrázku a pokračujte přes Vlastnosti
(Properties):
Pokud používáte účet Eduroam (Radius) FIT, pak zaškrtněte Brno University
of Technology CA (CA VUT).
Pokud používáte jiný účet Eduroam (VUT pin či jiné organizace), zakrtněte
certifikační autoritu, která vydala certifikát odpovídajícímu Radius serveru
(obvykle GTE CyberTrust, seznam byl naposledy zde).
Pokud nemáte v seznamu certifikační autoritu CA VUT, tak si ji
naimportujte
jako důvěryhodnou kořenovou certifikační autoritu do fyzického úložiště registr a postup zopakujte.
Pro ověření vyberte EAP-MSCHAP v2.
Dále pokračujte přes
Konfigurovat (Configure...):
Pokud nemáte login a heslo do Windows XP stejné jako login a heslo pro
Radius (což určitě nemáte), pak odškrtněte zaškrtávátko.
Toto zaškrtávátko je příčinou 95% neúspěšných pokusů o autentizaci
(jako username se použije něco jako 'host/Franta-PC').
Ověřování je nastaveno a potvrzením jednotlivých dialogů se vrátíme do okna
Síťová připojení. V případě, ze se k síti připojujete
poprvé nebo bylo heslo změněno, objeví se nad spodní lištou nebo někde
na desktopu výzva
k zadání jména a hesla (pozor, okno může být překryto okny jiných aplikací).
Kliknutím myší na výzvu vyvoláte dialog Zadání ověření,
kde zadáte login (včetně domény, tj. ve tvaru login@fit.vutbr.cz) a heslo pro autentizaci připojení.
Do položky Přihlašovací doména nevyplňujte nic.
Po úspěšném ověření WinXP uloží uživatelské jméno a heslo, takže je
při dalším připojení nemusíte znovu zadávat a vše proběhne automaticky
(uložení hesla lze případně potlačit, ale vzhledem k nízkému
nebezpečí jeho zneužití na privátním notebooku to není rozumné).
Nainstalujte si certifikát certifikační autority CA VUT. Doporučujeme použít návod, aby certifikát platil pro všechny uživatele počítače.
Připojení je poněkud složitější, protože se systém důvtipně a usilovně
snaží utajit před uživatelem potřebná konfigurační data. Především
se nesmíte pokoušet připojovat automaticky, ale buď ručně
nebo začít přes pravé tlačítko kliknutím na SSID eduroam v seznamu
detekovaných sítí konfiguraci vlastností:
Přes druhou záložku Zabezpečení je třeba nastavit typ zabezpečení
(WPA2 podnikové, šifrování AES), vybrat metodu ověřování PEAP (obvykle
je přednastavena) a pokračovat přes tlačítko Nastavení.
Zde musí být v seznamu důvěryhodných certifikačních úřadů CA VUT. Pokud
není, tak ji musíte nejprve naimportovat (obdobně jako ve Win XP).
Ponechte odškrtnuto "Nezobrazovat výzvu k ověření...". Pak aspoň
při autentizaci uvidíte certifikát autentizačního serveru radius.fit.vutbr.cz
a máte možnost zkontrolovat, že to dospělo až do této fáze (pokud ne, pak
jste někde při klikání udělali chybu).
Dále zkontrolujte nastavení metody ověřování na MSCHAP-v2 a pokračujte Konfigurovat.
Obdobně jako ve Win XP odškrněte automatické použití loginu do Windows.
Toto zaškrtávátko je příčinou 95% neúspěšných pokusů o autentizaci
(jako username se použije něco jako 'host/Franta-PC').
Pokud se vám to nepodaří rozjet, zkontrolujte zda máte nainstalován Service Pack 1 nebo alespoň patch KB937123.
Pokud vám to nejede ani poté, je chyba na 100% v některém z předchozích dialogů.
Nainstalujte si certifikát certifikační autority CA VUT. Doporučujeme použít návod, aby certifikát platil pro všechny uživatele počítače.
Pro Ethernet je třeba spustit službu Automatická konfigurace pevné sítě (Wired Autoconfig): stiskněte klávesu Windows+R, vepište services.msc, najděte službu Wired Autoconfig, klikněte pravým tlačítkem myši a klikněte na Start/Spustit. Potom se ve vlastnostech síťového adaptéru objeví záložka Authentication/Ověřování, kterou můžete nastavit podle návodu pro Windows XP.
V seznamu sítí máte jedinou možnost: připojit se.
To skončí upozorněním:
Navzdory tomuto varování se připojte, možná budete muset zopakovat přihlašovací údaje.
Nyní je síť připojena, přesto se někdy objeví upozornění "No Internet access". To zmizí zpravidla po prvním přístupu na internet.
Příští připojení už by mělo projít bez námitek, dokud nesmažete profil této sítě.
Nastavení pro Windows XP - WiFi OEM
Pokud použijete pro správu WiFi integrované nástroje Windows XP, pak je
postup stejný jako u drátového připojení. Pokud použijete nástroje
výrobce WiFi karty, pak záleží na typu karty a stáří ovladačů. Nelze
příliš očekávat funkčnost zabezpečení a autentizace WPA/WPA2 u karet
starších cca. 2005. Autentizace PEAP a šifrování přenosu na úrovni
WPA/WPA2 je podporováno pouze na přístupových bodech s SSID eduroam.
Parametry nastavení: protokol WPA (WPA2), šifrování AES-CCMP (lze použít
i TKIP), autentizace PEAP/MSCHAP-V2, login@fit.vutbr.cz, doména prázdná,
certifikát serveru podepsán CA VUT, neautentizovat se jako počítač.
V následujících dvou příkladech je ukázáno nastavení pomocí nástroje
ke kartám Intel:
Pokud zaškrtnete "Ověřit certifikát serveru", ověřte si, zda je
CA VUT mezi seznamem důvěryhodných autorit, a pokud ne, tak si
ji naimportujte.
Lze použít pokyny pro Windows XP, akorát dialogy vypadají trochu jinak.
Pokud nelze po nastavení PEAP konfigurovat vlastnosti EAP MS-CHAPv2
(pro zrušení Authenticate as Computer) a vypíše se pouze toto:
Warning
Cannot log on to the wireless network. This network
required a personal certificate to positively identify you.
pak může pomoci vytvoření tohoto klíče v registry:
[\HKLM\Comm\EAP\Extension\25\]
"ValidateServerCert"=dword:00000000
Není třeba žádné zvláštní nastavení, systém detekuje dostupnou síť eduroam
se správným typem zabezpečení automaticky. Při přihlašování je třeba
zadat pouze User name (Radius účet ve tvaru login@fit.vutbr.cz) a Password.
Identita může zůstat prázdné.
Není třeba žádné zvláštní nastavení, systém detekuje dostupnou síť eduroam
se správným typem zabezpečení automaticky. Při přihlašování je třeba
zadat Identitu (Radius účet ve tvaru login@fit.vutbr.cz) a Heslo. Pole Anonymní identita může zůstat prázdné.
Nastavení 802.1x pro drátové připojení Linux/*BSD
Pro autentizaci doporučujeme použít integrované nástroje v desktopu.
V nouzi nejvyšší lze použít open source Xsupplicant (verzi 1.2.8 nebo vyšší).
Program buď nainstalujte jako připravený balíček pro
danou distribuci systému nebo přeložte a nainstalujte ze zdrojového kódu.
Nejprve si nakopírujte certifikát certifikační autority VUT ve formátu PEM:
wget http://ca.vutbr.cz/pki/pub/cacert/cacert.pem
Poté vytvořte konfigurační soubor /etc/xsupplicant.conf (standardní umístění
při instalaci ze zdrojového kódu):
logfile = /var/log/xsupplicant.log
default {
allow_types = eap_peap
# login = FIT_LOGIN@fit.vutbr.cz pro studenty i zaměstnance
# @fit.vutbr.cz je doména Radius serveru (lze použít v rámci
# Radius serverů propojených v síti EduRoam)
identity = "login@fit.vutbr.cz"
eap-peap {
inner_id = "login@fit.vutbr.cz"
root_cert = /etc/certs/cacert.pem
chunk_size = 1398
random_file = /dev/urandom
cncheck = radius.fit.vutbr.cz
session_resume = yes
allow_types = eap_mschapv2
eap-mschapv2 {
password = "heslo"
}
}
}
Při počátečním ověřování spusťte xsupplicant ručně s parametrem -d <číslo>
a parametrem -q (ukončení po úspěšné autentizaci):
xsupplicant -i eth0 -d 3 -q (čím větší číslo, tím více informací)
Po ověření funkčnosti (pokud máte problémy, porovnejte nejprve tento log s vaším) lze začlenit spuštění (xsupplicant -i eth0) do
standardní inicializace síťové karty (ve zdrojové distribuci jsou
v adresáři tools příklady skriptů ifup a ifdown). Program xsupplicant
může běžet i na síti, kde není používána autentizace, nijak pak nebrání
provozu.
FAQ:
Pokud narazíte při překladu na scházející "iwlib.h", pak nemáte
nainstalovanou vývojovou verzi wireless-tools (balíček wireless-tools-devel)
a pravděpodobně také další potřebné balíčky pro překlad aplikací. Pokud
si nevíte rady, použijte google.
Pro autentizaci doporučujeme použít integrované nástroje v desktopu.
V nouzi lze použít přímo program wpa_supplicant (lze jej použít i pro Ethernet místo XSupplicant). Podobně jako Xsupplicant jej nainstalujte a uložte
si certifikát CA VUT. Konfigurace je implicitně uložena v souboru /etc/wpa_supplicant.conf:
network={
priority=5
ssid="eduroam"
key_mgmt=WPA-EAP
eap=PEAP
phase1="peaplabel=0"
phase2="auth=MSCHAPV2"
identity="login@fit.vutbr.cz"
password="heslo"
ca_cert="/etc/certs/cacert.pem"
}
network={
priority=1
ssid="VUTBRNO"
key_mgmt=NONE
}
První část definuje konfiguraci pro eduroam s vyšší prioritou. Pokud
není síť dostupná, použije další část konfigurace s nižší prioritou.
Takových sekcí může být v konfiguraci libovolný počet.
Před spuštěním programu si nejprve ověřte, zda vám správně funguje WiFi karta
programem iwconfig:
# iwconfig
eth0 no wireless extensions
lo no wireless extensions
wlan0 unassociated ESSID:off/any
Mode:Managed Frequency:nan kHz Access Point: Not-Associated
Bit Rate:0 Mb/s Tx-Power:16 dBm
Retry limit:15 RTS thr:off Fragment thr:off
Encryption key:off
Power Management:off
Link Quality=0 Signal level=0 Noise level=0
Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0
Tx excessive retries:0 Invalid misc:0 Missed beacon:0
V daném případě je WiFi karta rozhraní wlan0. Pro ověření
funkčnosti spustíme wpa_supplicant nejprve v popředí:
# wpa_supplicant -c/etc/wpa_supplicant.conf -iwlan0
Trying to associate with 00:1b:2b:34:8f:70 (SSID='eduroam' freq=2412 MHz)
Associated with 00:1b:2b:34:8f:70
CTRL-EVENT-EAP-STARTED EAP authentication started
CTRL-EVENT-EAP-METHOD EAP vendor 0 method 25 (PEAP) selected
EAP-MSCHAPV2: Authentication succeeded
EAP-TLV: TLV Result - Success - EAP-TLV/Phase2 Completed
CTRL-EVENT-EAP-SUCCESS EAP authentication completed successfully
WPA: Key negotiation completed with 00:1b:2b:34:8f:70 [PTK=CCMP GTK=TKIP]
CTRL-EVENT-CONNECTED - Connection to 00:1b:2b:34:8f:70 completed (auth)
Pokud se autentizace nezdaří, lze přidat parametr -d a zapnout
podrobnější logování průběhu. Úspěšnost autentizace si
můžeme opět ověřit pomocí iwconfig:
wlan0 IEEE 802.11g ESSID:"eduroam"
Mode:Managed Frequency:2.412 GHz Access Point: 00:1B:2B:34:8F:70
Bit Rate:54 Mb/s Tx-Power:15 dBm
Retry limit:15 RTS thr:off Fragment thr:off
Encryption key:754F-8A69-8EDE-C631-5C6F-72A5-9676-0C52
Security mode:open
Power Management:off
Link Quality=92/100 Signal level=-38 dBm Noise level=-39 dBm
Rx invalid nwid:0 Rx invalid crypt:7 Rx invalid frag:0
Tx excessive retries:0 Invalid misc:56 Missed beacon:0
Posledním krokem je pak získání IP adresy protokolem DHCP:
# dhclient wlan0
Listening on LPF/wlan0/00:1b:77:5c:d3:b2
Sending on LPF/wlan0/00:1b:77:5c:d3:b2
Sending on Socket/fallback
DHCPDISCOVER on wlan0 to 255.255.255.255 port 67 interval 7
DHCPOFFER from 147.229.178.1
DHCPREQUEST on wlan0 to 255.255.255.255 port 67
DHCPACK from 147.229.178.1
bound to 147.229.179.220 -- renewal in 140 seconds.
Pro začlenění automatické autentizace do skriptů inicializace
sítě je třeba vyjít z dokumentace dané distribuce Linuxu nebo BSD systému.
Pro spuštění programu wpa_supplicant je třeba pouze přidat parametr -B, který
zajistí spuštění v pozadí.
Například pro Debian stačí doplnit do /etc/network/interfaces:
iface wlan0 inet dhcp
wpa-conf /etc/wpa_supplicant.conf
Celý proces autentizace a získání IP adresy lze pak spustit příkazem ifup wlan0 (případně přidat do konfigurace příkaz "auto wlan0" pro spuštění
při startu systému) a pro vypnutí WiFi příkaz ifdown wlan0.
Zpět na návody CVT | 
Fakulta informačních technologií
![[dnssec]](/common/img/dnssec.png)