Obsah
Eduroam je propojení organizací za účelem umožnit mobilním uživatelům se připojit s jejich přenosnými počítači jako host v cizí hostitelské organizaci k její lokální síti.
Host se připojuje zpravidla pomocí wi-fi prostředků nebo poskytnutou pevnou linkou.
K ověření (autentizaci) hosta stačí jeho účet (jméno a heslo nebo certifikát) v jeho domovské organizaci. Přípojné body v hostitelské organizaci umožní vzdálené
ověření u domovské organizace hosta, kde je jeho účet. Vzdálené ověření se uskutečňuje přes internet zabezpečeným šifrovaným kanálem.
K účelu vzdáleného ověření je v eduroam vytvořeno hierarchické propojení autentizačních (radius) serverů. Každá organizace zapojená do eduroam
musí mít pro tyto účely svůj radius server. Radius servery organizací v jednom státě jsou napojeny na národní proxy radius server. V České republice
udržuje národní server organizace Cesnet. Tam také nalezneme informace o politice eduroam
a seznam organizací propojených v České republice.
Jednotlivé státy zastřešuje organizace eduroam.org, kde lze nalézt další informace.
Např. zde nalezneme mapu připojených států, kde se po kliknutí dostaneme na stránky jejich zastřešujících eduroam organizací.
Nejpohodlnějším a nejčastějším připojením k eduroam v hostitelské organizaci jsou wi-fi přístupové body (AP - Access Points).
Uživatel si na svém přenosném počítači spustí aplikaci Bezdrátové připojení k síti a zde z aktuálního seznamu bezdrátových sítí vybere síť,
která se bude zpravidla jmenovat eduroam a k té se připojí.
Záleží ještě na hostitelské organizaci, jaká omezení nastaví uživatelům, kteří u nich budou připojeni k síti eduroam.
Uživatelé mohou mít z bezpečnostních důvodů omezenější přístup k internetu
a také budou mít určitě omezený přístup k vnitřní lokální síti. Omezení je plně v kompetenci hostitelské organizace.
Uživatelská přihlášení a odhlášení k síti eduroam jsou z bezpečnostních důvodů v hostitelské i domovské organizaci protokolována.
Každá domovská organizace, která je připojena k mezinárodní síti eduroam, udržuje pro své členy účty pro připojení k této síti.
V případě FZÚ se používají pro připojení k eduroam stejné účty jako pro ústavní VPN.
Kdo ještě nemá vytvořen VPN účet, tak klikne na odkaz Informace , kde nalezne informace
o Vytvoření a zrušení VPN účtu. Pozor, z bezpečnostních důvodů jsou uvedené VPN stránky přístupné jen z počítačů fyzicky umístěných v lokální síti FZÚ.
Nemá-li pracovník FZÚ ještě vytvořen VPN účet, měl by si před výjezdem do hostitelské organizace tento účet vytvořit ještě za pobytu ve FZÚ.
Aby účty v rámci sítě eduroam byly z hlediska příslušnosti k organizaci lehce rozpoznatelné, používá se za jménem uživatele ještě přípona.
Pro pracovníky z FZÚ to je @fzu.cz. Je-li jméno pracovníka např. user, pak by jeho jméno pro připojení do sítě eduroam bylo user@fzu.cz.
Heslo by pak bylo jeho vpn heslo (viz výše).
- Připojení počítače pomocí Wi-Fi
- Připojení počítače pomocí pevné linky
Ve FZÚ jsou provozovány bezdrátové (wi-fi) přístupové body i přístupové body s pevnou linkou (ethernet).
Jejich technické parametry jsou
- Identifikátor wi-fi sítě SSID: eduroam
- Autentizace: 802.1x (EAP)
- Zabezpečení wi-fi: WPA2 (je povolen i WPA)
- Šifrování wi-fi: AES (je povolen i TKIP)
- Internet: IPv4, NAT
- Použitá zařízení: Cisco
Omezení připojení v síti eduroam
- Do vnitřní sítě FZÚ jsou nastavena omezení, jako pro běžného uživatele z Internetu.
- Směrem do Internetu je zakázána pouze služba odesílání pošty (smtp: tcp/25).
Uživatel musí odesílat poštu přes místní poštovní bránu: postak.fzu.cz.
- Uživateli je přidělena IP adresa, která z Internetu není vidět (je za NATem).
Tomu také odpovídá omezení. Na tento počítač není možné z Internetu navazovat spojení.
Je to možné jen z počítače směrem do Internetu.