Linux – nastavení eduroam

Základní informace

Většina současných distribucí umí detekovat parametry bezdrátové sítě a první přihlášení do eduroam je pro uživatele jednoduché. Není ale nastavena kontrola autentizačního serveru – automatická konfigurace není bezpečná.
Vytvořenou konfiguraci lze ručně upravit pouze pokud jste v dosahu eduroam. Snazší cestou je konfiguračního skriptu dostupného na eduroam Configuration Assistent Tool (eduroamCAT).

Automatická konfigurace pomocí služby eduroamCAT

Konfigurační python skript pro nastavení parametrů uživatelů eduroam z VŠE si stáhněte z cat.eduroam.org. Ukázky použití skriptu jsou i v následujících návodech.

Skript zkusí nakonfigurovat eduroam pomocí aplikace NetworkManager. Pokud je verze aplikace NetworkManager ve Vašem systému příliš stará nebo není k dispozici, bude vytvořen konfigurační soubor pro wpa_supplicant.

Instalátor vytvoří ve vašem domácím adresáři novou složku .cat_installer nahraje do ní vaše serverové certifikáty. Skript se též zeptá na Vaše uživatelské jméno a heslo, oba údaje poté budou zapsány v konfiguraci, abyste je při každém připojení nemuseli zadávat.

Skript Vám pomůže i při problémech s připojením do eduroam – skript smaže předchozí profil pro Wi-Fi eduroam a vytvoří nový. Skript můžete spustit i mimo dosah sítě eduroam.

Konfigurace ve Fedora 28 či Ubuntu 18.04

Oba operační systémy používají pro WiFi připojení Network Manager v Gnome prostředí a proto je způsob nastavení v obou stejný.

V následujícím postupu předpokládám, že jste v dosahu Wi-Fi eduroam. Obrázky jsou z české verze rozhraní.

  1. Klikněte na horní lištu do pravého horního rohu, zobrazí se Vám stav Wi-Fi připojení. Pokud se nenabídne, tak operační systém nenašel zapnuté Wi-Fi rozhraní. Na následujícím snímku počítač zatím není připojen do Wi-Fi.
  2. Zvolte Vybrat síť, zobrazí se seznam dostupných sítí. V něm vyberte eduroam a klikněte na Připojit dole.
  3. Po chvíli se Vám zobrazí panel pro vyplnění údajů pro připojení. Vyplňte své přihlašovací jméno (včetně @vse.cz) a heslo. Zaškrtněte volbu Certifikát CA není potřeba – zatím nemáte certifikát. Po vyplnění jména a hesla klikněte na tlačítko Připojit dole.
  4. Nyní by se měl počítač připojit do eduroam. Pokud se počítač nepřipojí, tak přejděte do Nastavení Wi-Fi (viz první obrázek), zobrazí se seznam nakonfigurovaných a dostupných sítí. Klikněte na konfigurování eduroam a v panelu Detaily zrušte nastavení (Zapomenout). A zkuste konfiguraci znovu.
  5. Ve webovém prohlížeči si otevřete stránku cat.eduroam.org, vyberte Vysokou školu ekonomickou (University of Economics, Prague) a stáhněte konfigurační skript pro naší školu – soubor eduroam-linux-VsevP-eduroam.py či eduroam-linux-UoEP-eduroam.py (prohlížeč v angličtině)
  6. Skript bude v adresáři pro stahované soubory (adresář Staženo či Downloads v domovského adresáři). Otevřete si terminál, přejděte do tohoto adresáře a spusťte skript příkazem:
    python eduroam-linux-VsevP-eduroam.py
    či v anglické verzi
    python eduroam-linux-UoEP-eduroam.py
    (v Ubuntu použijte python3)
  7. Skript postupně zobrazí kontaktní informace pro eduroam na VŠE a dotaz, zda máte přihlašovací údaje pro eduroam na VŠE. Následně zadáte své uživatelské jméno pro eduroam (včetně @vse.cz) a heslo. Skript dokončí konfiguraci včetně nastavení ověření certifikátu a jména autentizačního serveru. Nová konfigurace se obvykle uplatní hned, někdy až po restartu počítače.

Správné nastavení si můžete zkontrolovat pomocí příkazu
nmcli connection show eduroam | grep 802.1x.
Ve výpisu je zřejmé, že se kontroluje certifikát a jméno autentizačního serveru:

802-1x.eap:                             ttls
802-1x.identity:                        test99@vse.cz
802-1x.anonymous-identity:              anonymous@vse.cz
802-1x.ca-cert:                         /home/test99/.cat_installer/ca.pem
802-1x.altsubject-matches:              DNS:radius.vse.cz

OpenSUSE Leap 42.2

V OpenSUSE jsou dva správci sítě – Wicked a NetworkManager. Po instalaci jsem měl Wicked, který je vhodný spíše pro servery, pro konfiguraci by musel použít wpa_supplicant (viz popis na konci stránky). Dle oficiálního návodu jsem změnil správce sítě na Network Manager.

  1. Na dolní liště vpravo by měla být ikona bezdrátové sítě. Klikněte na ni a zobrazí se seznam dostupných síti Wi-Fi síti (pokud ikona na liště není, tak operační systém nenašel Wi-Fi rozhraní, je vypnuté či sítě nespravuje Network Manager).
  2. Klikněte na eduroam a po chvíli se Vám zobrazí konfigurační okno. Přejděte na panel Zabezpečení Wi-Fi a v něm nastavte Ověření na Tunelované TLS (TTLS), Vnitřní ověření na MSCHAPv2.
    Dále vyplňte své uživatelské jméno (včetně @vse.cz), heslo. Po nastavení klikněte dole na tlačítko OK.
  3. Nyní by se měl počítač připojit do eduroam.
  4. Ve webovém prohlížeči otevřete stránku cat.eduroam.org, vyberte Vysokou školu ekonomickou a stáhněte konfigurační skriptpro naší školu – soubor eduroam-linux-UoEP-eduroam.py či eduroam-linux-VsevP-eduroam.py (česká verze prohlížeče).
  5. Skript bude v adresáři pro stahované soubory (adresář Stažené v domovského adresáři). Otevřete si terminál, přejděte do tohoto adresáře a spusťte skript příkazem:
    python eduroam-linux-UoEP-eduroam.py
    či v české verzi
    python eduroam-linux-VsevP-eduroam.py
  6. Skript zobrazí kontaktní informace pro eduroam na VŠE a dotaz, zda máte přihlašovací údaje pro eduroam na VŠE. Následně zadáte své uživatelské jméno pro eduroam (včetně @vse.cz) a heslo. Skript dokončí konfiguraci včetně nastavení ověření certifikátu a jména autentizačního serveru. Nová konfigurace se obvykle uplatní hned, někdy až po restartu počítače.

Network Manager a WPA supplicant

V unixu se používají dvě aplikace pro konfiguraci bezdrátové sítě – Network Manager a WPA supplicant. Desktopové distribuce obvykle používají Network Manager s nějakou grafickou nadstavbou, ukázky byly v předchozích návodech.

WPA supplicant používá textový konfigurační soubor, popis nastavení je na https://www.eduroam.cz/cs/uzivatel/sw/nix/wpa_supplicant – v konfiguraci změňte certifikační autoritu (na VŠE je to DigiCert Assured ID Root CA) a jméno autentizačního serveru (na VŠE je to radius.vse.cz).