[AUTH]Připojování přenosných počítačů na Ethernet a WiFi/WPA

Připojování notebooků a podobných zařízení na lokální počítačovou síť pomocí kabelu je povoleno pouze na vyhrazených místech - v současné době v učebnách M103 a M104. V žádném případě není dovoleno odpojovat školní počítače od sítě a používat tyto přípojky pro vlastní notebooky (připojení vám nebude fungovat). Připojení na WiFi lze realizovat všude, kde dosáhne signál, žádný přístupový bod nemá přístup omezen.

Přístup k počítačové síti je autentizován protokolem IEEE 802.1X (často označováno také 802.1x Enterprise) a Radius serverem. Stejný typ autentizace je také použit pro přístup k WiFi síti SSID eduroam (pro VUTBRNO funguje pouze Web autentizace). Pro autentizaci je použitelný PEAP (Protected EAP) s ověřením hesla protokolem MSCHAPv2 (preferováno), EAP-TTLS s ověřením hesla protokolem PAP nebo EAP-TLS (autentizace klientským certifikátem). Protože je heslo v prvních dvou případech uloženo na straně Radius serveru v otevřené podobě, nelze pro autentizaci v žádném případě používat standardní hesla do Unixu, IS FIT nebo VUTlogin. Speciální heslo pro autentizaci serverem Radius si musíte vygenerovat v IS FIT (Nastavení hesla pro Radius server). V systémech Windows nebo Mac OS X je stačí zadat jednou, poté je automaticky zapamatováno a použito při následující autentizaci. V systémech Linux lze použít buď nástroje dodávané v distribuci jako součást desktopu nebo použít standardní nástroj wpa_supplicant s ruční konfigurací.

Nastavení pro systém Windows XP - Ethernet/WiFi

Oteřete okno Síťová připojení (Network Connections) a pravým tlačítkem přes menu vyberte Vlastnosti (Properties) síťové karty, přes kterou chcete komunikovat. Vyberte záložku Ověřování (Authentication). Pokud není záložka Ověřování zobrazena, pravděpodobně nemáte spuštěnou službu Automatická konfigurace bezdrátových zařízení (Wireless Zero Configuration): Start->Spustit: services.msc Najděte tuto službu a povolte její automatické spuštění, případně ji také ručně spusťte). V případě drátového připojení spusťte stejným postupem službu Automatická konfigurace pevné sítě (Wired AutoConfig).

Nastavte konfiguraci podle obrázku a pokračujte přes Vlastnosti (Properties):

Pokud používáte účet Eduroam (Radius) FIT, pak zaškrtněte Brno University of Technology CA (CA VUT). Pokud používáte jiný účet Eduroam (VUT pin či jiné organizace), zakrtněte certifikační autoritu, která vydala certifikát odpovídajícímu Radius serveru (obvykle GTE CyberTrust, seznam byl naposledy zde). Pokud nemáte v seznamu certifikační autoritu CA VUT, tak si ji naimportujte jako důvěryhodnou kořenovou certifikační autoritu do fyzického úložiště registr a postup zopakujte. Pro ověření vyberte EAP-MSCHAP v2.

Dále pokračujte přes Konfigurovat (Configure...):

Pokud nemáte login a heslo do Windows XP stejné jako login a heslo pro Radius (což určitě nemáte), pak odškrtněte zaškrtávátko. Toto zaškrtávátko je příčinou 95% neúspěšných pokusů o autentizaci (jako username se použije něco jako 'host/Franta-PC').

Ověřování je nastaveno a potvrzením jednotlivých dialogů se vrátíme do okna Síťová připojení. V případě, ze se k síti připojujete poprvé nebo bylo heslo změněno, objeví se nad spodní lištou nebo někde na desktopu výzva k zadání jména a hesla (pozor, okno může být překryto okny jiných aplikací). Kliknutím myší na výzvu vyvoláte dialog Zadání ověření, kde zadáte login (včetně domény, tj. ve tvaru login@fit.vutbr.cz) a heslo pro autentizaci připojení. Do položky Přihlašovací doména nevyplňujte nic. Po úspěšném ověření WinXP uloží uživatelské jméno a heslo, takže je při dalším připojení nemusíte znovu zadávat a vše proběhne automaticky (uložení hesla lze případně potlačit, ale vzhledem k nízkému nebezpečí jeho zneužití na privátním notebooku to není rozumné).

Nastavení pro Windows Vista - WiFi

Nainstalujte si certifikát certifikační autority CA VUT. Doporučujeme použít návod, aby certifikát platil pro všechny uživatele počítače. Připojení je poněkud složitější, protože se systém důvtipně a usilovně snaží utajit před uživatelem potřebná konfigurační data. Především se nesmíte pokoušet připojovat automaticky, ale buď ručně nebo začít přes pravé tlačítko kliknutím na SSID eduroam v seznamu detekovaných sítí konfiguraci vlastností:

Přes druhou záložku Zabezpečení je třeba nastavit typ zabezpečení (WPA2 podnikové, šifrování AES), vybrat metodu ověřování PEAP (obvykle je přednastavena) a pokračovat přes tlačítko Nastavení.

Zde musí být v seznamu důvěryhodných certifikačních úřadů CA VUT. Pokud není, tak ji musíte nejprve naimportovat (obdobně jako ve Win XP). Ponechte odškrtnuto "Nezobrazovat výzvu k ověření...". Pak aspoň při autentizaci uvidíte certifikát autentizačního serveru radius.fit.vutbr.cz a máte možnost zkontrolovat, že to dospělo až do této fáze (pokud ne, pak jste někde při klikání udělali chybu). Dále zkontrolujte nastavení metody ověřování na MSCHAP-v2 a pokračujte Konfigurovat.

Obdobně jako ve Win XP odškrněte automatické použití loginu do Windows. Toto zaškrtávátko je příčinou 95% neúspěšných pokusů o autentizaci (jako username se použije něco jako 'host/Franta-PC').

Pokud se vám to nepodaří rozjet, zkontrolujte zda máte nainstalován Service Pack 1 nebo alespoň patch KB937123. Pokud vám to nejede ani poté, je chyba na 100% v některém z předchozích dialogů.

Nastavení pro Windows 7 - WiFi/Ethernet

Nainstalujte si certifikát certifikační autority CA VUT. Doporučujeme použít návod, aby certifikát platil pro všechny uživatele počítače.

Pro Ethernet je třeba spustit službu Automatická konfigurace pevné sítě (Wired Autoconfig): stiskněte klávesu Windows+R, vepište services.msc, najděte službu Wired Autoconfig, klikněte pravým tlačítkem myši a klikněte na Start/Spustit. Potom se ve vlastnostech síťového adaptéru objeví záložka Authentication/Ověřování, kterou můžete nastavit podle návodu pro Windows XP.

V seznamu sítí máte jedinou možnost: připojit se. To skončí upozorněním:

Navzdory tomuto varování se připojte, možná budete muset zopakovat přihlašovací údaje.

Nyní je síť připojena, přesto se někdy objeví upozornění "No Internet access". To zmizí zpravidla po prvním přístupu na internet.

Příští připojení už by mělo projít bez námitek, dokud nesmažete profil této sítě.

Nastavení pro Windows XP - WiFi OEM

Pokud použijete pro správu WiFi integrované nástroje Windows XP, pak je postup stejný jako u drátového připojení. Pokud použijete nástroje výrobce WiFi karty, pak záleží na typu karty a stáří ovladačů. Nelze příliš očekávat funkčnost zabezpečení a autentizace WPA/WPA2 u karet starších cca. 2005. Autentizace PEAP a šifrování přenosu na úrovni WPA/WPA2 je podporováno pouze na přístupových bodech s SSID eduroam. Parametry nastavení: protokol WPA (WPA2), šifrování AES-CCMP (lze použít i TKIP), autentizace PEAP/MSCHAP-V2, login@fit.vutbr.cz, doména prázdná, certifikát serveru podepsán CA VUT, neautentizovat se jako počítač.

V následujících dvou příkladech je ukázáno nastavení pomocí nástroje ke kartám Intel:

Pokud zaškrtnete "Ověřit certifikát serveru", ověřte si, zda je CA VUT mezi seznamem důvěryhodných autorit, a pokud ne, tak si ji naimportujte.

Nastavení pro Windows Mobile (CE)

Lze použít pokyny pro Windows XP, akorát dialogy vypadají trochu jinak. Pokud nelze po nastavení PEAP konfigurovat vlastnosti EAP MS-CHAPv2 (pro zrušení Authenticate as Computer) a vypíše se pouze toto:
Warning

Cannot log on to the wireless network. This network 
required a personal certificate to positively identify you.
pak může pomoci vytvoření tohoto klíče v registry:
[\HKLM\Comm\EAP\Extension\25\]
"ValidateServerCert"=dword:00000000

Nastavení pro Windows Mobile 7

Není třeba žádné zvláštní nastavení, systém detekuje dostupnou síť eduroam se správným typem zabezpečení automaticky. Při přihlašování je třeba zadat pouze User name (Radius účet ve tvaru login@fit.vutbr.cz) a Password. Identita může zůstat prázdné.

Nastavení pro Android 2.2 (Froyo)

Není třeba žádné zvláštní nastavení, systém detekuje dostupnou síť eduroam se správným typem zabezpečení automaticky. Při přihlašování je třeba zadat Identitu (Radius účet ve tvaru login@fit.vutbr.cz) a Heslo. Pole Anonymní identita může zůstat prázdné.

Nastavení 802.1x pro drátové připojení Linux/*BSD

Pro autentizaci doporučujeme použít integrované nástroje v desktopu. V nouzi nejvyšší lze použít open source Xsupplicant (verzi 1.2.8 nebo vyšší). Program buď nainstalujte jako připravený balíček pro danou distribuci systému nebo přeložte a nainstalujte ze zdrojového kódu. Nejprve si nakopírujte certifikát certifikační autority VUT ve formátu PEM:
wget http://ca.vutbr.cz/pki/pub/cacert/cacert.pem
Poté vytvořte konfigurační soubor /etc/xsupplicant.conf (standardní umístění při instalaci ze zdrojového kódu):
logfile = /var/log/xsupplicant.log

default {
    allow_types = eap_peap

    # login = FIT_LOGIN@fit.vutbr.cz pro studenty i zaměstnance 
    # @fit.vutbr.cz je doména Radius serveru (lze použít v rámci
    # Radius serverů propojených v síti EduRoam)
    identity = "login@fit.vutbr.cz"

    eap-peap {
    	inner_id = "login@fit.vutbr.cz"
	root_cert = /etc/certs/cacert.pem
	chunk_size = 1398
	random_file = /dev/urandom
	cncheck = radius.fit.vutbr.cz
	session_resume = yes
	allow_types = eap_mschapv2
	eap-mschapv2 {
            password = "heslo"
        }
    }
}
Při počátečním ověřování spusťte xsupplicant ručně s parametrem -d <číslo> a parametrem -q (ukončení po úspěšné autentizaci):
xsupplicant -i eth0 -d 3 -q	(čím větší číslo, tím více informací)
Po ověření funkčnosti (pokud máte problémy, porovnejte nejprve tento log s vaším) lze začlenit spuštění (xsupplicant -i eth0) do standardní inicializace síťové karty (ve zdrojové distribuci jsou v adresáři tools příklady skriptů ifup a ifdown). Program xsupplicant může běžet i na síti, kde není používána autentizace, nijak pak nebrání provozu.

FAQ:
Pokud narazíte při překladu na scházející "iwlib.h", pak nemáte nainstalovanou vývojovou verzi wireless-tools (balíček wireless-tools-devel) a pravděpodobně také další potřebné balíčky pro překlad aplikací. Pokud si nevíte rady, použijte google.

Nastavení WiFi pro Linux/*BSD

Pro autentizaci doporučujeme použít integrované nástroje v desktopu. V nouzi lze použít přímo program wpa_supplicant (lze jej použít i pro Ethernet místo XSupplicant). Podobně jako Xsupplicant jej nainstalujte a uložte si certifikát CA VUT. Konfigurace je implicitně uložena v souboru /etc/wpa_supplicant.conf:
network={
	priority=5
	ssid="eduroam"
	key_mgmt=WPA-EAP
	eap=PEAP
	phase1="peaplabel=0"
	phase2="auth=MSCHAPV2"
	identity="login@fit.vutbr.cz"
	password="heslo"
	ca_cert="/etc/certs/cacert.pem"
}
network={
	priority=1
	ssid="VUTBRNO"
	key_mgmt=NONE
}
První část definuje konfiguraci pro eduroam s vyšší prioritou. Pokud není síť dostupná, použije další část konfigurace s nižší prioritou. Takových sekcí může být v konfiguraci libovolný počet.

Před spuštěním programu si nejprve ověřte, zda vám správně funguje WiFi karta programem iwconfig:

# iwconfig
eth0	no wireless extensions
lo	no wireless extensions
wlan0	unassociated  ESSID:off/any
	Mode:Managed  Frequency:nan kHz  Access Point: Not-Associated
	Bit Rate:0 Mb/s   Tx-Power:16 dBm
	Retry limit:15   RTS thr:off    Fragment thr:off
	Encryption key:off
	Power Management:off
	Link Quality=0  Signal level=0  Noise level=0
	Rx invalid nwid:0  Rx invalid crypt:0  Rx invalid frag:0
	Tx excessive retries:0  Invalid misc:0   Missed beacon:0
V daném případě je WiFi karta rozhraní wlan0. Pro ověření funkčnosti spustíme wpa_supplicant nejprve v popředí:
# wpa_supplicant -c/etc/wpa_supplicant.conf -iwlan0
Trying to associate with 00:1b:2b:34:8f:70 (SSID='eduroam' freq=2412 MHz)
Associated with 00:1b:2b:34:8f:70
CTRL-EVENT-EAP-STARTED EAP authentication started
CTRL-EVENT-EAP-METHOD EAP vendor 0 method 25 (PEAP) selected
EAP-MSCHAPV2: Authentication succeeded
EAP-TLV: TLV Result - Success - EAP-TLV/Phase2 Completed
CTRL-EVENT-EAP-SUCCESS EAP authentication completed successfully
WPA: Key negotiation completed with 00:1b:2b:34:8f:70 [PTK=CCMP GTK=TKIP]
CTRL-EVENT-CONNECTED - Connection to 00:1b:2b:34:8f:70 completed (auth)
Pokud se autentizace nezdaří, lze přidat parametr -d a zapnout podrobnější logování průběhu. Úspěšnost autentizace si můžeme opět ověřit pomocí iwconfig:
wlan0     IEEE 802.11g  ESSID:"eduroam"  
          Mode:Managed  Frequency:2.412 GHz  Access Point: 00:1B:2B:34:8F:70   
          Bit Rate:54 Mb/s   Tx-Power:15 dBm   
          Retry limit:15   RTS thr:off   Fragment thr:off
          Encryption key:754F-8A69-8EDE-C631-5C6F-72A5-9676-0C52
	  Security mode:open
          Power Management:off
          Link Quality=92/100  Signal level=-38 dBm  Noise level=-39 dBm
          Rx invalid nwid:0  Rx invalid crypt:7  Rx invalid frag:0
          Tx excessive retries:0  Invalid misc:56   Missed beacon:0
Posledním krokem je pak získání IP adresy protokolem DHCP:
# dhclient wlan0
Listening on LPF/wlan0/00:1b:77:5c:d3:b2
Sending on   LPF/wlan0/00:1b:77:5c:d3:b2
Sending on   Socket/fallback
DHCPDISCOVER on wlan0 to 255.255.255.255 port 67 interval 7
DHCPOFFER from 147.229.178.1
DHCPREQUEST on wlan0 to 255.255.255.255 port 67
DHCPACK from 147.229.178.1
bound to 147.229.179.220 -- renewal in 140 seconds.

Pro začlenění automatické autentizace do skriptů inicializace sítě je třeba vyjít z dokumentace dané distribuce Linuxu nebo BSD systému. Pro spuštění programu wpa_supplicant je třeba pouze přidat parametr -B, který zajistí spuštění v pozadí. Například pro Debian stačí doplnit do /etc/network/interfaces:

iface wlan0 inet dhcp
  wpa-conf /etc/wpa_supplicant.conf
Celý proces autentizace a získání IP adresy lze pak spustit příkazem ifup wlan0 (případně přidat do konfigurace příkaz "auto wlan0" pro spuštění při startu systému) a pro vypnutí WiFi příkaz ifdown wlan0.

Zpět na návody CVT

Vaše IPv4 adresa: 54.81.6.121
Přepnout na IPv6 spojení

DNSSEC [dnssec]