Portál AbcLinuxu, 1. května 2025 04:55

Eduroam

7.10.2006 17:40 | Přečteno: 3022× | Linux v praxi | Výběrový blog

V poslední době se začalo na českých vysokých školách přecházet z vlastních řešení na wifi síť eduroam, zaštítěnou CESNETem. Síť se hlásí dvěma různými SSID: eduroam a eduroam-simple. První zmíněná používá WPA-Enterprise a proto není snadné ji rozjet.

Eduroam simple

Eduroam simple je obyčejná wifi síť, bez jakéhokoli zabezpečení, která vám kamžitě, bez jakékoli registrace poskytne veřejnou IP adresu (alespoň na VŠE). Všechny porty vyjma 80 jsou však zablokované, a na portu 80 (HTTP) dostanete pouze dashboard, na kterém se musíte přihlásit přes klasický webový formulář. Heslo se zpravidla liší od vašeho uživatelského hesla na vaší domovské instituci, username je patrně shodné.

Na VŠE je nutné si definovat separátní heslo na adrese https://heslo.vse.cz/eduroam. Uživatelské jméno je vždy vaše klasické xname@vse.cz.

Po přihlášení se otevře nové okno browseru, ve kterém je zobrazen status a které svým pravidelným reloadem obnovuje platnost připojení. S trochou práce lze samozřejmě napsat bashovský skript, který celé mortirium provede při bootu za vás. Proč to tedy neudělat?
Protože Eduroam simple

Konfigurace Eduroam

Jak jsem již zmínil, Eduroam používá WPA-Enterprise. Čekají nás tedy hrátky s certifikáty a jiné radosti. Pro uživatele Windows byl připraven krásný obrázkový návod. Z doslechu však ani ve Windows není konfigurace bezproblémová, a množství lidí raději používá Eduroam simple.

V linuxu se nejčastěji na WPA používá wpa_supplicant. Popis konfigurace wpa_supplicantu je dostupný na wiki eduroam, popisuje připojení v síti Cesnet pomocí Centrina. Já mám však hostap a jsem z VŠE, takže moje konfigurace je mírně odlišná. Konfigurace wpa_supplicantu, který má na starosti asociování s Access pointem a autentifikaci se nachází v /etc/wpa_supplicant.conf a může vypadat následovně 

ctrl_interface=/var/run/wpa_supplicant
eapol_version=1
ap_scan=1

network={
  ssid="eduroam"
  priority=5
  scan_ssid=1
  key_mgmt=WPA-EAP
  eap=PEAP # urcite ne TTLS
  proto=WPA
  pairwise=TKIP # pry nemusi byt
  identity="xvalo07@vse.cz"
  password="SemPatriHeslo"
  ca_cert="/etc/ssl/certs/vse.cz.pem"
  phase1="peaplabel=0" # pry nepovinne
  phase2="auth=MSCHAPV2"
}
S konfigurací je potřeba trochu experimentovat, hlavní, co jsem zjistil je, že každá instituce používá jiný certifikát, proto zde certifikát VŠE, jinde to může být třeba CESNETu. Bližším parametrům bohužel nerozumím (vděčný budu za každou radu). Autentizace probíhá zhruba tak, že se asociujeme s AP, načež se sestaví tunel k domovskému autentizačnímu serveru, který ověří naše jméno a heslo a připojní povolí či odmítne. Pokud vše proběhne v pořádku, je možné pomocí klasického DHCP klienta získat IP adresu a cesta je volná.

Možné potíže

kernel

Nezapomeňte mít v kernelu povolené vše potřebné pro WPA a přidružené druhy šifrování a autentifikace. U mě se jednalo o tato nastvení:

CONFIG_IEEE80211=y
CONFIG_IEEE80211_CRYPT_WEP=y
CONFIG_IEEE80211_CRYPT_CCMP=y
CONFIG_IEEE80211_CRYPT_TKIP=y
Ale možná naleznete i další. Následující seznam mi poslali z naší správy sítě, kde též používají Centrino. Moje jádro následující nastavení neobsahuje, patrně se týkají konkrétního wifi ovladače. 
CONFIG_IEEE8021X_EAPOL=y
CONFIG_EAP_MD5=y
CONFIG_EAP_MSCHAPV2=y
CONFIG_EAP_TLS=y
CONFIG_EAP_PEAP=y
CONFIG_EAP_TTLS=y
CONFIG_EAP_GTC=y
CONFIG_EAP_OTP=y
CONFIG_EAP_SIM=y
CONFIG_EAP_AKA=y
CONFIG_EAP_PSK=y
CONFIG_EAP_SAKE=y
CONFIG_EAP_GPSK=y
CONFIG_EAP_PAX=y
CONFIG_EAP_LEAP=y

wpa_supplicant

wpa_supplicant může použít pro WPA buď schopnosti vašeho driveru, nebo generické funkce z wireless extension (např volba -Dwext, nebo -Dhostap). Spustíte jej následovně: 
# wpa_supplicant -Dwext -iwlan0 -c /etc/wpa_supplicant.conf
V debianu lze konfiguraci a spuštění wpa_supplicantu automatizovat pomocí nastavení v /etc/network/interfaces 
auto wlan0
iface wlan0 inet dhcp
 wpa-driver wext
 wpa-ssid eduroam
 wpa-conf /etc/wpa_supplicant.conf

hostap

Chybí-li některé funkce v kernelu, může hostap zlobit. Časté jsou chyby typu "Cannot assign received address" nebo "unknown method: TKIP". V kernelu verze 2.6.17 mi hostap s wpa_supplicantem často tuhne, či se dokola resetuje, takže je nutné vyzkoušet i různé verze kernelu.

nefunkčnost

Zatím mi to v následující konfiguraci funguje všelijak. Když je slabý signál, síť mě s oblibou vykopává. Taktéž, když spustím nějaký opravdu náročný download, např update Debianu z ČVUT. Jindy zase vše běží několik hodin bez jediného zádrhelu.

Velmi často také neproběhne v pořádku autentifikace. Celý proces lze sledovat například pomocí wpa_gui. Autentifikace se zasekne ve fázi AUTENTIFICATION STARTED a nikdy se nedokončí, nutno znova asociovat. Zatím ztratíte pracně získanou adresu z DHCP a musíte znovu pouštět DHCP klienta.

Závěr

Myšlenka bezplatné sítě Eduroam (na VŠE byla dříve wifi placená, byť jen 250Kč za semestr) a volný roaming mezi školami, možná i zahraničními (viz eduroam.org), se mi velmi líbí, takže budu rád, když mi vše pojede automaticky a bez věčného odpojování. A jaké jsou vaš zkušenosti s Eduroamem? Pochlubte se v diskusi, nebo poraďte co zlepšit. Za odkaz na srozumitelně podaný článek o WPA/PEAP/TKIP/MSCHAP atd. bych byl také vděčný.        

Hodnocení: 85 %

        špatnédobré        

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

Vložit další komentář

7.10.2006 18:08 Michal Vyskočil | skóre: 60 | blog: miblog | Praha
Rozbalit Rozbalit vše Re: Eduroam
Odpovědět | Sbalit | Link | Blokovat | Admin
Super, pokud by se to dalo časem přetavit do FAQ, bylo by to úplně skvělé :-)
When your hammer is C++, everything begins to look like a thumb.
Valoun avatar 8.10.2006 00:45 Valoun | skóre: 30 | blog: Psavec | Středočeský kraj
Rozbalit Rozbalit vše Re: Eduroam
Do FAQ ať to dá kdokoli, kdo tomu rozumí, já v podstatě jen kopíruju konfiguráky, a kombinuji je s netenv. Teď možná zkusím ještě ten Network Manager ... jinak se využití libovolné části toho textu nebráním, je to public domain pro obecné blaho.
Hanička avatar 7.10.2006 18:17 Hanička | skóre: 3 | Žďár nad Sázavou
Rozbalit Rozbalit vše Re: Eduroam
Odpovědět | Sbalit | Link | Blokovat | Admin
Dle svých zkušeností na FJFI ČVUT v Trojance, to občas jde, občas ne... Některe AP bezproblému hned a některe vůbec, dle tcpdump mne autentizovali, ale ip adresu nezaslali, občas jen IPv6. Jinak moc fajn projekt :)
7.10.2006 23:24 geoRG77
Rozbalit Rozbalit vše Re: Eduroam
Tak jsem si to nastavil, zatím jen pro WinXP a budu doufat, že se v týdnu připojím k netu na Trojance :-)

Už aby pokryli i Břehovku, jsem tam častěji :-( Hledal jsem sítě, ale po eduroam ani památka. K dvěma neznámým sítím jsem se nepřipojil.
7.10.2006 23:46 KS | skóre: 10 | blog: blg | Horní polní u západní dolní
Rozbalit Rozbalit vše Re: Eduroam
Koukám, že je to tady samý jaderňák. :-)
Pochybnost, nejistota - základ poznání
8.10.2006 21:15 geoRG77
Rozbalit Rozbalit vše Re: Eduroam
Taky se mi zdá :-)
Valoun avatar 8.10.2006 00:42 Valoun | skóre: 30 | blog: Psavec | Středočeský kraj
Rozbalit Rozbalit vše Re: Eduroam
Tohle je jedna z věcí, které jsem nepochopil. wpa_gui mi při úspěšném konci hlásí, že jsem dostal IP adresu. Ale i tak musím potom ručně spustit DHCP klienta. Kdo mi tedy přiděluje IP adresu? Je to nějaké zmatené ... a když pustím wpa_supplicant v debug modu, abych viděl co se děje, tak to zase těch informací vyplivne moc.
7.10.2006 19:03 jgv | skóre: 13
Rozbalit Rozbalit vše Re: Eduroam
Odpovědět | Sbalit | Link | Blokovat | Admin
Zatim mam Eduroam vyzkouseny jen na FELu v Dejvicich. Chodi pekne, nemam s tim problemy.

Mozna k tomu vyctu voleb bys mohl prihodit -Dndiswrapper - pokud to nekdo bude davat do FAQ.
7.10.2006 19:18 Dan Ohnesorg | skóre: 29 | blog: Danuv patentovy blog | Rudná u Prahy
Rozbalit Rozbalit vše Re: Eduroam
Odpovědět | Sbalit | Link | Blokovat | Admin
Chodilo to dokonce na univerzite v Lyonu ve Francii. Jenze jsem necekal ze by se tam neco takoveho vyskytovalo, takze jsem nemel wpa_supplicant a tak jsem se nepripojil.
I'm an Igor, thur. We don't athk quethtionth. Really? Why not? I don't know, thur. I didn't athk. TP -- Making Money
7.10.2006 19:22 D-Evil | skóre: 25 | Praha
Rozbalit Rozbalit vše Re: Eduroam
Odpovědět | Sbalit | Link | Blokovat | Admin
Zatim jsem zkoušel Eduroam jen ve Windows, tam jsem problémy neměl. Pokud se mi podaří rozjet wifi i v Linuxu, vyzkoušim to, ale problémy neočekávám.

Jinak na eduroam.fjfi.cvut.cz by měl bejt funkční návod pro linux (včetně použití NetworkManager).
Hanička avatar 7.10.2006 22:32 Hanička | skóre: 3 | Žďár nad Sázavou
Rozbalit Rozbalit vše Re: Eduroam
Odpovědět | Sbalit | Link | Blokovat | Admin
Jinak něco o 802.1X jde zde ... http://www.svetsiti.cz/view_list.asp?rubrika=Tutorialy&temaID=289
Ondrej avatar 7.10.2006 22:47 Ondrej | skóre: 20 | blog: darkblair_server | Praha
Rozbalit Rozbalit vše Re: Eduroam
Odpovědět | Sbalit | Link | Blokovat | Admin
Ja pouzivam eduroam na SSSVT a sem s nim spokojenej. Jak pises ze se bude rusit eduroam-simple - to jenom na vse nebo cela sit? Z PDAcka se totiz pripojuju na eduroam-simple, protoze normalni sem proste nerozjel a mam pocit ze to na pda ani nejde
Nikdo neni nikdy lepsi nez ty! Pouze ty jsi obcas horsi nez ostatni.
Valoun avatar 8.10.2006 00:39 Valoun | skóre: 30 | blog: Psavec | Středočeský kraj
Rozbalit Rozbalit vše Re: Eduroam
Bohužel získat jakékoli bližší informace je obtížné, většina správy sítě řekne prostě, že to není už v jejich náplni práce, že se o tom rozhoduje "jinde", takže sami nevědí. U těch PDA je to asi problém ...
8.10.2006 22:01 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše OT
Odpovědět | Sbalit | Link | Blokovat | Admin
S eduroam nemam zkusenosti (na MUNI to nabizi jen superpocitacove centrum).

Ale hodlam si rozjet na vlastnim AP (hostap) autentizaci a sifrovani podle 802.11i. Tj. to, co se v komercni svere oznacuje WPA-Enterprise. Zatim jsem precetl dokumentaci, nainstaloval hostpapd a freeradius, rozjel kartu v AP modu a zarizil pridelovani IPv4/6 adresy.

Pokud se dilo podari, napisu nejaky mensi navod do blogu.
27.10.2006 13:17 Michal Horčic
Rozbalit Rozbalit vše Re: Eduroam - SuSE10.1
Odpovědět | Sbalit | Link | Blokovat | Admin
Tak sem si s tim trochu hrál a nepodařilo se mi zatím podle žádného návodu rozjet eduroam (jsem z VŠE) na SuSE10.1, zkoušel jsem jak xsupplicant tak wpa_supplicant. Po několika neúspěších sem vyzkoušel nastavení v Yastu a hle vše funguje:) Tak uvidíme jak dlouho to vydrží.

Založit nové vláknoNahoru

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.