Eduroam

7.10.2006 17:40 | Přečteno: 3117× | Linux v praxi |

V poslední době se začalo na českých vysokých školách přecházet z vlastních řešení na wifi síť eduroam, zaštítěnou CESNETem. Síť se hlásí dvěma různými SSID: eduroam a eduroam-simple. První zmíněná používá WPA-Enterprise a proto není snadné ji rozjet.

Eduroam simple

Eduroam simple je obyčejná wifi síť, bez jakéhokoli zabezpečení, která vám kamžitě, bez jakékoli registrace poskytne veřejnou IP adresu (alespoň na VŠE). Všechny porty vyjma 80 jsou však zablokované, a na portu 80 (HTTP) dostanete pouze dashboard, na kterém se musíte přihlásit přes klasický webový formulář. Heslo se zpravidla liší od vašeho uživatelského hesla na vaší domovské instituci, username je patrně shodné.

Na VŠE je nutné si definovat separátní heslo na adrese https://heslo.vse.cz/eduroam. Uživatelské jméno je vždy vaše klasické xname@vse.cz.

Po přihlášení se otevře nové okno browseru, ve kterém je zobrazen status a které svým pravidelným reloadem obnovuje platnost připojení. S trochou práce lze samozřejmě napsat bashovský skript, který celé mortirium provede při bootu za vás. Proč to tedy neudělat?
Protože Eduroam simple

• nepoužívá žádné šifrování,
• možná nenabízí roaming mezi institucemi,
• má být ke konci roku zcela zrušen (údaj z VŠE, termín není přesně stanoven)

Konfigurace Eduroam

Jak jsem již zmínil, Eduroam používá WPA-Enterprise. Čekají nás tedy hrátky s certifikáty a jiné radosti. Pro uživatele Windows byl připraven krásný obrázkový návod. Z doslechu však ani ve Windows není konfigurace bezproblémová, a množství lidí raději používá Eduroam simple.

V linuxu se nejčastěji na WPA používá wpa_supplicant. Popis konfigurace wpa_supplicantu je dostupný na wiki eduroam, popisuje připojení v síti Cesnet pomocí Centrina. Já mám však hostap a jsem z VŠE, takže moje konfigurace je mírně odlišná. Konfigurace wpa_supplicantu, který má na starosti asociování s Access pointem a autentifikaci se nachází v /etc/wpa_supplicant.conf a může vypadat následovně

ctrl_interface=/var/run/wpa_supplicant
eapol_version=1
ap_scan=1

network={
  ssid="eduroam"
  priority=5
  scan_ssid=1
  key_mgmt=WPA-EAP
  eap=PEAP # urcite ne TTLS
  proto=WPA
  pairwise=TKIP # pry nemusi byt
  identity="xvalo07@vse.cz"
  password="SemPatriHeslo"
  ca_cert="/etc/ssl/certs/vse.cz.pem"
  phase1="peaplabel=0" # pry nepovinne
  phase2="auth=MSCHAPV2"
}

S konfigurací je potřeba trochu experimentovat, hlavní, co jsem zjistil je, že každá instituce používá jiný certifikát, proto zde certifikát VŠE, jinde to může být třeba CESNETu. Bližším parametrům bohužel nerozumím (vděčný budu za každou radu). Autentizace probíhá zhruba tak, že se asociujeme s AP, načež se sestaví tunel k domovskému autentizačnímu serveru, který ověří naše jméno a heslo a připojní povolí či odmítne. Pokud vše proběhne v pořádku, je možné pomocí klasického DHCP klienta získat IP adresu a cesta je volná.

Možné potíže

kernel

Nezapomeňte mít v kernelu povolené vše potřebné pro WPA a přidružené druhy šifrování a autentifikace. U mě se jednalo o tato nastvení:

CONFIG_IEEE80211=y
CONFIG_IEEE80211_CRYPT_WEP=y
CONFIG_IEEE80211_CRYPT_CCMP=y
CONFIG_IEEE80211_CRYPT_TKIP=y

Ale možná naleznete i další. Následující seznam mi poslali z naší správy sítě, kde též používají Centrino. Moje jádro následující nastavení neobsahuje, patrně se týkají konkrétního wifi ovladače.

CONFIG_IEEE8021X_EAPOL=y
CONFIG_EAP_MD5=y
CONFIG_EAP_MSCHAPV2=y
CONFIG_EAP_TLS=y
CONFIG_EAP_PEAP=y
CONFIG_EAP_TTLS=y
CONFIG_EAP_GTC=y
CONFIG_EAP_OTP=y
CONFIG_EAP_SIM=y
CONFIG_EAP_AKA=y
CONFIG_EAP_PSK=y
CONFIG_EAP_SAKE=y
CONFIG_EAP_GPSK=y
CONFIG_EAP_PAX=y
CONFIG_EAP_LEAP=y

wpa_supplicant

wpa_supplicant může použít pro WPA buď schopnosti vašeho driveru, nebo generické funkce z wireless extension (např volba -Dwext, nebo -Dhostap). Spustíte jej následovně:

# wpa_supplicant -Dwext -iwlan0 -c /etc/wpa_supplicant.conf

V debianu lze konfiguraci a spuštění wpa_supplicantu automatizovat pomocí nastavení v /etc/network/interfaces

auto wlan0
iface wlan0 inet dhcp
 wpa-driver wext
 wpa-ssid eduroam
 wpa-conf /etc/wpa_supplicant.conf

hostap

Chybí-li některé funkce v kernelu, může hostap zlobit. Časté jsou chyby typu "Cannot assign received address" nebo "unknown method: TKIP". V kernelu verze 2.6.17 mi hostap s wpa_supplicantem často tuhne, či se dokola resetuje, takže je nutné vyzkoušet i různé verze kernelu.

nefunkčnost

Zatím mi to v následující konfiguraci funguje všelijak. Když je slabý signál, síť mě s oblibou vykopává. Taktéž, když spustím nějaký opravdu náročný download, např update Debianu z ČVUT. Jindy zase vše běží několik hodin bez jediného zádrhelu.

Velmi často také neproběhne v pořádku autentifikace. Celý proces lze sledovat například pomocí wpa_gui. Autentifikace se zasekne ve fázi AUTENTIFICATION STARTED a nikdy se nedokončí, nutno znova asociovat. Zatím ztratíte pracně získanou adresu z DHCP a musíte znovu pouštět DHCP klienta.

Závěr

Myšlenka bezplatné sítě Eduroam (na VŠE byla dříve wifi placená, byť jen 250Kč za semestr) a volný roaming mezi školami, možná i zahraničními (viz eduroam.org), se mi velmi líbí, takže budu rád, když mi vše pojede automaticky a bez věčného odpojování. A jaké jsou vaš zkušenosti s Eduroamem? Pochlubte se v diskusi, nebo poraďte co zlepšit. Za odkaz na srozumitelně podaný článek o WPA/PEAP/TKIP/MSCHAP atd. bych byl také vděčný.        

Tiskni Sdílej:

Komentáře

Vložit další komentář

Založit nové vlákno • Nahoru