Eduroam

Nebylo by skvělé se moci připojit k internetu na každé světové univerzitě? Bylo. A přesně k tomu slouží Eduroam. Nepronikl sice úplně na všechny světové univerzity, ale na většinu rozhodně ano.

Jedná se tedy o celosvětovou síť, která je primárně dostupná studentům a akademickým pracovníkům na nejrůznějších světových univerzitách a občas i na dalších studentsky exponovaných místech - třeba na hlavním nádraží v Praze.

Studenti UK se do sítě Eduroam mohou přihlásit prostřednictvím hesla, které najdou (a nastaví si) v CASu. Připojení by mělo být snadné, ale na různých obskurnějších operačních systémech může vyžadovat více nastavování.

Návody jak se připojit

A informatici mají smůlu, ale mohou využít návody od ostatních.

Manuální setup na linuxu

Cetifikát

Eduroam UK má tento certifikát. Může se hodit pro manuální setup.

-----BEGIN CERTIFICATE-----
MIIDtzCCAp+gAwIBAgIQDOfg5RfYRv6P5WD8G/AwOTANBgkqhkiG9w0BAQUFADBl
MQswCQYDVQQGEwJVUzEVMBMGA1UEChMMRGlnaUNlcnQgSW5jMRkwFwYDVQQLExB3
d3cuZGlnaWNlcnQuY29tMSQwIgYDVQQDExtEaWdpQ2VydCBBc3N1cmVkIElEIFJv
b3QgQ0EwHhcNMDYxMTEwMDAwMDAwWhcNMzExMTEwMDAwMDAwWjBlMQswCQYDVQQG
EwJVUzEVMBMGA1UEChMMRGlnaUNlcnQgSW5jMRkwFwYDVQQLExB3d3cuZGlnaWNl
cnQuY29tMSQwIgYDVQQDExtEaWdpQ2VydCBBc3N1cmVkIElEIFJvb3QgQ0EwggEi
MA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCtDhXO5EOAXLGH87dg+XESpa7c
JpSIqvTO9SA5KFhgDPiA2qkVlTJhPLWxKISKityfCgyDF3qPkKyK53lTXDGEKvYP
mDI2dsze3Tyoou9q+yHyUmHfnyDXH+Kx2f4YZNISW1/5WBg1vEfNoTb5a3/UsDg+
wRvDjDPZ2C8Y/igPs6eD1sNuRMBhNZYW/lmci3Zt1/GiSw0r/wty2p5g0I6QNcZ4
VYcgoc/lbQrISXwxmDNsIumH0DJaoroTghHtORedmTpyoeb6pNnVFzF1roV9Iq4/
AUaG9ih5yLHa5FcXxH4cDrC0kqZWs72yl+2qp/C3xag/lRbQ/6GW6whfGHdPAgMB
AAGjYzBhMA4GA1UdDwEB/wQEAwIBhjAPBgNVHRMBAf8EBTADAQH/MB0GA1UdDgQW
BBRF66Kv9JLLgjEtUYunpyGd823IDzAfBgNVHSMEGDAWgBRF66Kv9JLLgjEtUYun
pyGd823IDzANBgkqhkiG9w0BAQUFAAOCAQEAog683+Lt8ONyc3pklL/3cmbYMuRC
dWKuh+vy1dneVrOfzM4UKLkNl2BcEkxY5NM9g0lFWJc1aRqoR+pWxnmrEthngYTf
fwk8lOa4JiwgvT2zKIn3X/8i4peEH+ll74fg38FnSbNd67IJKusm7Xi+fT8r87cm
NW1fiQG2SVufAQWbqz0lwcy2f8Lxb4bG+mRo64EtlOtCt/qMHt1i8b5QZ7dsvfPx
H2sMNgcWfzd8qVttevESRmCD1ycEvkvOl77DZypoEd+A5wwzZr8TDRRu838fYxAe
+o0bJW1sj6W3YQGx0qMmoRBxna3iw/nDmVG3KwcIzi7mULKn+gpFL6Lw8g==
-----END CERTIFICATE-----

Toto není autoritativní zdroj certifikátu, toto je autoritativní zdroj. Ideální způsob stáhnutí certifikátu je:

wget https://uvt.cuni.cz/UVTEN-66-version1-digicert_assured_id_root_ca.pem

Certifikát bohužel používá SHA1, který už nemá v kernelu podporu. Jelikož iwd používá pro kryptografii kernel, je možné se na Eduroam připojit jen s wpa_supplicant, nebo s iwd bez ověřování certifikátu. Pokud vám nevadí, že kdokoliv bude moct MTIMovat vaše připojení, stačí (pro NM) odebrat možnosti 802-1x.domain-suffix-match a 802-1x.ca-cert.

Na mailing listech se iwd a kernel lidi hádají o to, čí je to chyba. Přidejte se, možná to pak někdo opraví :)

Nastavení NetworkManageru

  • SSID: eduroam

  • Mode: Client

  • Security: WPA/WPA2 Enterprise

  • Authentication: Protected EAP (PEAP)

  • Domain: eduroam.cuni.cz

  • CA certificate: cesta k certifikátu (standardně: /etc/ssl/certs/ca.pem)

  • PEAP version: Automatic

  • Inner authentication: MSCHAPv2

  • Username: <UKČO>@cuni.cz

  • Password: Vaše euduroam heslo

Síť můžete nakonfigurovat pomocí tohoto příkazu:

nmcli connection add type wifi \
	connection.id eduroam \
	802-11-wireless.ssid eduroam \
	802-11-wireless.mode infrastructure \
	802-11-wireless-security.key-mgmt wpa-eap \
	802-1x.eap peap \
	802-1x.domain-suffix-match eduroam.cuni.cz \
	802-1x.ca-cert /path/to/cert.pem \
	802-1x.phase2-auth mschapv2 \
	802-1x.identity <UKČO>@cuni.cz

Poté stačí nastavit už jen heslo.

iwd

Pokud používáte linux a na něm iwd, může se hodit následující konfigurace:

[Security]
EAP-Method=PEAP
EAP-Identity=anonymous@cuni.cz
EAP-PEAP-CACert=/var/lib/iwd/eduroam-ca.pem
EAP-PEAP-Phase2-Method=MSCHAPV2
EAP-PEAP-Phase2-Identity=<UKČO sem>@cuni.cz
EAP-PEAP-Phase2-Password=<heslo sem>


[Settings]
AutoConnect=True

Výše uvedený kód uložíte do /var/lib/iwd/eduroam.8021x a do /var/lib/iwd/eduroam-ca.pem vložíte výše zmiňovaný certifikát.