INSTRUKCJA KONFIGURACJI SIECI BEZPRZEWODOWEJ eduroam NA WYDZIALE AEI
21. listopada 2006 r. nastąpiło włączenie szyfrowania w naszej wydziałowej sieci Wi-Fi. Zaczęliśmy korzystać z protokołu WPA, co pociągnęło za sobą konieczność przekonfigurowania ustawień kart bezprzewodowych WLAN.
Wraz z przejściem na połączenia szyfrowane, sieć stała się częścią międzynarodowego projektu Eduroam (więcej o nim na stronach www.eduroam.org i www.eduroam.pl). SSID sieci zmieniło się z dotychczasowego iele na eduroam.
Warunkiem koniecznym do zalogowania się w sieci jest posiadanie konta w domenie polsl.pl lub student.polsl.pl. Pracownicy Uczelni ten warunek już mają spełniony, studenci natomiast, którzy nie posiadają konta w domenie student.polsl.pl będą musieli takie konto sobe założyć.
W jaki sposób? Osoba, która już się zarejestrowała w Systemie Obsługi Toku Studiów (dostępny pod adresem https://sots.polsl.pl/Student) takie konto już posiada. Nazwa użytkownika wygenerowana podczas rejestracji w SOTS jest tożsama z nazwą użytkownika w domenie student.polsl.pl. Jeśli student do tej pory nie był zarejestrowany w SOTS może to zrobić zdalnie po wprowadzeniu odpowiednich danych personalnych. Formularz rejestracyjny jest dostępny tutaj. Przy uwierzytelnianiu użytkownika w sieci Wi-Fi używany będzie login postaci nazwa_konta@student.polsl.pl i hasło takie samo jak w systemie SOTS (nazwa_konta to zwykle połączenie kilku liter imienia, nazwiska i paru cyfr).
Przypominamy, że wszyscy studenci zarejestrowani w systemie SOTS, mogą korzystać z własnego konta pocztowego o adresie nazwa_konta@student.polsl.pl. Szczegóły konfiguracji są podane na stronie Centrum Komputerowego:
Studenckie konta pocztowe
Włączenie WPA niestety ma jedną niedogodność. Nie wszystkie karty WLAN obsługują ten sposób uwierzytelniania, choć pocieszający jest fakt, iż dotyczy to przede wszystkim kart starszych. Obecnie produkowane karty WLAN powinny umożliwiać bezproblemową pracę także w tym trybie. W pewnych sytuacjach może pomóc uaktualnienie sterowników karty bezprzewodowej (gdyby się okazało np. że w opcjach nie widzimy możliwości włączenia WPA).
Jeśli jesteśmy pewni że nasza karta obsługuje WPA to możemy przejść do konfiguracji. Poniżej przygotowaliśmy przewodnik krok po kroku (dla Windowsa XP).
1. Wywołujemy ekran wyświetlający dostępne sieci bezprzewodowe (ikona zwykle znajduje się w prawym dolnym roku ekranu w zasobniku systemowym) i klikamy opcję: Zmień ustawienia zaawansowane.
2. Wybieramy zakładkę Sieci bezprzewodowe.
3. Jeśli na liście preferowanych sieci nie ma jeszcze eduroam musimy ją dodać. Klikamy Dodaj...
4. Na zakładce Skojarzenie wpisujemy Nazwę sieciową (SSID) eduroam, ustawiamy uwierzytelnianie WPA i szyfrowanie danych TKIP (patrz poniżej).
5. Przechodzimy do zakładki Uwierzytelnianie. Typ protokołu EAP ustawiamy na Chroniony protokół EAP (PEAP), odznaczamy opcję Uwierzytelnij jako komputer, gdy informacje o komputerze są dostępne, a następnie wchodzimy we Właściwości protokołu EAP.
6. Jeśli chcemy możemy odhaczyć opcję Weryfikuj certyfikat serwera, jednak ze względów bezpieczeństwa warto sprawdzać certyfikat serwera na jakim się uwierzytelniamy. W takim przypadku zachęcamy do zaznajomienia się z procedurą instalacji certyfikatów Politechniki Śląskiej przygotowaną przez pracowników Centrum Komputerowego, a następnie instalacji certyfikatu.
W kolejnym kroku metodę uwierzytelniania ustawiamy na Bezpieczne hasło (EAP-MSCHAP v2) i wybieramy Konfiguruj..
7. Usuwamy zaznaczenie jak poniżej (nie chcemy aby do uwierzytelniania użyto lokalnej nazwy użytkownika).
8. Zamykamy okna konfiguracyjne. Możemy teraz spróbować połączyć się z siecią eduroam. Klikamy Połącz (patrz pierwszy zrzut ekranowy wyżej).
System będzie się próbował połączyć i wkrótce pojawi się "dymek" jak na poniżym obrazku.
Klikamy na nim i powinno pojawić się okno Wprowadzanie poświadczeń. Tutaj możemy wprowadzić nasz login i hasło (studenci w formacie nazwa_konta@student.polsl.pl, pracownicy nazwa_konta@polsl.pl).
Jeśli wszystko skonfigurowaliśmy poprawnie w chwilę później nastąpi uwierzytelnienie naszego użytkownika i podłączenie do sieci.
Od tej pory mamy pełny dostęp do sieci Internet.
System Windows będzie pamiętał dane autoryzacyjne, aż do momentu gdy proces uwierzytelniania zakończy się niepowodzeniem. Przy kolejnych uruchomieniach komputera i podłączaniu się do sieci eduroam, wprowadzanie loginu i hasła nie będzie więc konieczne.
W pewnych okolicznościach konieczna może być zmiana danych użytkownika lub usunięcie tych danych, aby komputer nie łączył się automatycznie z siecią.
Niestety, w przypadku Windowsa XP jedyną metodą na usunięcie tych danych jest edycja rejestru systemowego. Należy usunąć klucz w następującej lokalizacji:
HKEY_CURRENT_USER\Software\Microsoft\Eapol\UserEapInfo
Po takiej operacji przy próbie połączenia z siecią system ponownie poprosi o wprowadzenie danych autoryzacyjnych. Więcej o tym na stronie http://support.microsoft.com/default.aspx?scid=kb;en-us;823731
Windows Vista
Pojawiły się problemy z dostępem do sieci eduroam na wydziale z systemu operacyjnego Windows Vista. Sytuacja wygląda zazwyczaj tak, że autoryzacja użytkownika odbywa się bez problemów (jak pokazują logi serwera RADIUS), ale później komputer nie dostaje adresu IP. Trudno powiedzieć, czy powodem problemów jest serwer DHCP (ISC DHCP Version 3), czy też system Windows Vista, czy inne urządzenie sieciowe. Zauważono natomiast, że opisany problem powoduje właściwość systemu Windows Vista (nowa w porównaniu do Windows XP), która domyślnie ustawia flagę "broadcast" w pakietach DHCP. Mimo iż serwer DHCP obsługuje tę flagę, to odpowiedzi zazwyczaj nie docierają do adresata. W takiej sytuacji pomaga zastosowanie się do zaleceń Microsoftu opisanych tutaj: http://support.microsoft.com/kb/928233.
Konkretnie należy skorzystać z drugiego z zaleceń, które mówi, żeby w kluczu:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{GUID}
gdzie {GUID} jest identyfikatorem bezprzewodowej karty sieciowej zmienić flagę DhcpConnForceBroadcastFlag z 1 na 0.
Zmiana ta nie powinna mieć żadnych skutków ubocznych przy korzystaniu z innej sieci bezprzewodowej, system Windows Vista będzie się przy wysyłaniu żądania przyznania adresu IP zachowywał jak Windows XP i poprzednie wersje.
Linux, na przykładzie Fedory Core 6
Użytkownicy systemu Linux najczęściej korzystają przy podłączeniu do sieci bezprzewodowej z wpa_supplicanta. Przykładowy plik konfiguracyjny wygląda następująco:
network={
ssid="eduroam"
proto=WPA
key_mgmt=WPA-EAP
pairwise=TKIP
eap=PEAP
anonymous_identity="nazwa_konta@student.polsl.pl"
identity="nazwa_konta@student.polsl.pl"
password="sots_haslo"
ca_cert="/etc/certs/polsl/caroot.pem"
phase2="auth=MSCHAPV2"
}
Plik certyfikat caroot.pem znajduje się na stronie Centrum Certyfikacji Politechniki Śląskiej. Jest to certyfikat główny Centrum. Szczegóły konfiguracji wpa_supplicanta można znaleźć na stronie projektu: Linux WPA/WPA2/IEEE 802.1X Supplicant. Dla użytkowników mniej obeznanych z konsolą tekstową dużym ułatwieniem będzie skorzystanie z Network Managera, który jest jednym z elementów pakietu GNOME.
Połączenie z użyciem Network Managera jest łatwiejsze niż w systemie Windows. Wystarczy wybrać sieć bezprzewodową eduroam z listy (która się pojawi, jeżeli bezprzewodowa karta sieciowa jest poprawnie zainstalowana w systemie) i wypełnić okienko jak podano na poniższym przykładzie:
Jeszcze kilka uwag dla użytkowników innych systemów. W powyższych przykładach pojawiła się opcja "tożsamość anonimowa" (anonymous_identity) - pojawia się ona często w innych suplikantach WPA (symbian, odyssey, ...) - należy ustawić ją na taką samą wartość jak "tożsamość" (identity) lub zostawić pustą. Inne wpisy mogą powodować problemy.
W systemach Windows XP i Windows Vista certyfikat serwera nie jest wymagany do podłączenie do sieci eduroam, ale jest zalecany. Można się połączyć z siecią nie zaznaczając pola Weryfikuj certyfikat serwera, ściągnąć certyfikat, zainstalować i włączyć wspomnianą opcję w konfiguracji. W przypadku innych systemów/suplikantów (symbian, wpa_supplicant, intel, ...) certyfikat jest konieczny, żeby można było się podłączyć do sieci. Należy go więc wcześniej ściągnąć korzystając z innego połączenie niż eduroam i zainstalować w systemie.
Ogólnie konfiguracja jest zawsze taka sam: WPA/PEAP/MSCHAPv2. SymbianaOS posiada bardzo szczegółową konfigurację połączenia z siecią zabezpieczoną protokołem WPA. Należy uważnie ustawić wszystkie opcje zwracając uwagę m.in. na kwestie związane z identyfikowaniem użytkownika. Przede wszystkim należy jednak zainstalować certyfikat serwera.
Klient WPA wbudowany w Windows Mobile mimo ustawienia uwierzytelniania przy użyciu protokołu PEAP wyświetla komunikat o braku certyfikatu osobistego. Ponieważ uwierzytelnianie PEAP polega na podaniu nazwy użytkownika i hasła (ewentualnie domeny), to komunikat ten trudno zinterpretować (certyfikat jest wymagany przy uwierzytelnianiu za pomocą protokołu TLS).
Windows Mobile 6
Konfigurację sieci eduroam w Windows Mobile 6 należy rozpocząć od instalacji certyfikatu Głównego Centrum Certyfikacji. Należy ze strony Centrum Certyfikacji Politechniki Śląskiej ściągnąć na urządzenie mobile certyfikat główny w formacie DER i zapisać go pod nazwą caroot.cer. System automatycznie zainstaluje certyfikat w odpowiednim miejscu, co przedstawiają rysunki poniżej:
Po zainstalowaniu certyfikatu należy skonfigurować połączenie z siecią eduroam, czyli dodać nową sieć:
Następnie ustawienia wymaga nazwa sieci wszystkie parametry uwierzytelniania zgodnie z konfiguracją punktów dostępowych na Wydziale AEiI Politechniki Śląskiej:
Następnie należy nawiązać połączenie z siecią eduroam w wyniku czego powinien pojawić się ekran logowania:
Należy wprowadzić nazwę użytkownika wg formatu, odpowiednio dla studentów i pracowników Politechniki Śląskiej: nazwa_uzytkownika@student.polsl.pl lub nazwa_uzytkownika@polsl.pl oraz hasło. Pole domena pozostaje puste, można zaznaczyć opcję zapisania hasła. Jeżeli logowanie do sieci eduroam będzie przebiegało bez problemów urządzeniu zostanie przyznany adres IP i komputer będzie miał dostęp do Internetu. Gdy wystąpią problemy z logowaniem pojawia się następujący komunikat:
Informacja, że sieć wymaga certyfikatu osobistego, żeby pozytywnie zidentyfikować użytkownika jest nieprawdziwa - protokół PEAP nie wymaga certyfikatów osobistych. Należy upewnić się, że podano bezbłędnie nazwę użytkownika i hasło i spróbować ponownie. Może być konieczny miękki restart systemu Windows Mobile.
SymbianOS
(Testowane na telefonach Nokia E51, Nokia E65)
Skonfigurowanie połączenia wymaga posiadania konta użytkownika oraz znajomości hasła do niego (w domenie student.polsl.pl lub polsl.pl, login/hasło takie same jak np. dla poczty elektronicznej) oraz komputera z dostępem do WWW (w celu pobrania certyfikatu).
1. Instalacja certyfikatu w telefonie
Do poprawnej autoryzacji wymagany jest certyfikat, który pobrać należy ze strony Centrum Certyfikacji Politechniki Śląskiej: http://certyfikat.polsl.pl/cacert
Wybieramy Certyfikat główny w formacie binarnym DER
(http://certyfikat.polsl.pl/repo/caroot.crt ).
Po ściągnięciu pliku caroot.crt na dysk twardy komputera należy przekopiować go do
dowolnego folderu w telefonie (korzystając np. z połączenia kablem USB, bądź Bluetooth, za pośrednictwem pakietu Nokia PC Suite, wybierając w nim ikone Menadżer plików), a
następnie, już z poziomu telefonu (Menu -> Biuro -> Menadżer plików), odnaleźć przekopiowany plik i po zaznaczeniu go wybrać Opcje -> Otwórz. Potwierdzamy chęć
zapisania certyfikatu, wybieramy Zapisz. Wychodzimy z menu.
Wybieramy Menu -> Narzędzia -> Ustawienia -> Ogólne -> Zabezpieczenia -> Certyfikaty
aby sprawdzić poprawność zainstalowania certyfikatu. Wybieramy Certyfikaty
uwierzytelnienia (lub: autoryzacji) i przewijając listę szukamy certyfikatu: Główne centrum
certyfikacji. Zaznaczamy go, wybieramy Opcje -> Ust. Zabezpieczeń i aktywujemy wszystkie dostępne pola (Internet, Spr. certyfik. online, …). Potwierdzamy wprowadzone zmiany i wychodzimy z menu.
2. Ustawienia telefonu
Aby korzystać z połączenia, należy stworzyć punkt do dostępu do sieci WLAN dla połączenia z eduroam. W tym celu w telefonie wybieramy:
Menu -> Narzędzia -> Ustawienia -> Połączenie -> Punkty dostępu
Opcje -> Nowy punkt dostępu -> użyj ustawień domyślnych
I wpisujemy następujące ustawienia:
Nazwa połączenia: eduroam
Nośnik danych: WLAN
Nazwa sieci WLAN: eduroam
Status sieci: Publiczna
Tryb sieci WLAN: Infrastruktura
Tryb zabezp. WLAN: WPA/WPA2
Wybieramy Ust. Zabezp. WLAN oraz włączamy opcje EAP-PEAP (Opcje -> Włącz), a następnie wyłączamy wszystkie pozostałe (Opcje -> Wyłącz) i upewniamy sie, że tylko przy
opcji EAP-PEAP jest zaznaczenie.
Zaznaczamy opcje EAP-PEAP i wybieramy Opcje -> Konfiguruj (lub: Edytuj). Znajdujemy
sie na zakładce Ogólne (zmiana zakładki: joystick w lewo/prawo).
Na zakładce Ogólne wpisujemy następujące ustawienia:
Certyfikat użytkownika: (nie określono)
Certyfikat CA: Główne centrum certyfikacji
Nazwa użytkownika w użyciu: Konfigurowane przez użytkownika
Nazwa użytkownika: login@polsl.pl lub login@student.polsl.pl
Dziedzina w użyciu: Konfigurowane przez użytkownika
Dziedzina: puste
Przechodzimy do zakładki EAP (joystick w prawo) oraz włączamy opcje EAP-MSCHAPv2
(Opcje -> Włącz), a następnie wyłączamy wszystkie pozostałe (Opcje -> Wyłącz) i upewniamy sie, że tylko przy opcji EAP-MSCHAPv2 jest zaznaczenie.
Zaznaczamy opcje EAP-MSCHAPv2 i wybieramy Opcje -> Konfiguruj (lub: Edytuj).
Tu ustawiamy:
Nazwa użytkownika: j/w
Żadanie hasła: nie
Hasło: wpisujemy hasło do naszego konta
Wychodzimy z menu, można zrestartować telefon. Połączenie eduroam jest skonfigurowane.