Eduroam je propojení organizací za účelem umožnit mobilním uživatelům se připojit s jejich přenosnými počítači jako host v cizí hostitelské organizaci k její lokální síti.
Host se připojuje zpravidla pomocí wi-fi prostředků nebo poskytnutou pevnou linkou.
K ověření (autentizaci) hosta stačí jeho účet (jméno a heslo nebo certifikát) v jeho domovské organizaci. Přípojné body v hostitelské organizaci umožní vzdálené
ověření u domovské organizace hosta, kde je jeho účet. Vzdálené ověření se uskutečňuje přes internet zabezpečeným šifrovaným kanálem.
K účelu vzdáleného ověření je v eduroam vytvořeno hierarchické propojení autentizačních (radius) serverů. Každá organizace zapojená do eduroam
musí mít pro tyto účely svůj radius server. Radius servery organizací v jednom státě jsou napojeny na národní proxy radius server. V České republice
udržuje národní server organizace Cesnet. Tam také nalezneme informace o politice eduroam
a seznam organizací propojených v České republice.
Jednotlivé státy zastřešuje organizace eduroam.org, kde lze nalézt další informace.
Např. zde nalezneme mapu připojených států, kde se po kliknutí dostaneme na stránky jejich zastřešujících eduroam organizací.
Nejpohodlnějším a nejčastějším připojením k eduroam v hostitelské organizaci jsou wi-fi přístupové body (AP - Access Points).
Uživatel si na svém přenosném počítači spustí aplikaci Bezdrátové připojení k síti a zde z aktuálního seznamu bezdrátových sítí vybere síť,
která se bude zpravidla jmenovat eduroam a k té se připojí.
Záleží ještě na hostitelské organizaci, jaká omezení nastaví uživatelům, kteří u nich budou připojeni k síti eduroam.
Uživatelé mohou mít z bezpečnostních důvodů omezenější přístup k internetu
a také budou mít určitě omezený přístup k vnitřní lokální síti. Omezení je plně v kompetenci hostitelské organizace.
Uživatelská přihlášení a odhlášení k síti eduroam jsou z bezpečnostních důvodů v hostitelské i domovské organizaci protokolována.
Každá domovská organizace, která je připojena k mezinárodní síti eduroam, udržuje pro své členy účty pro připojení k této síti.
V případě FZÚ se používají pro připojení k eduroam stejné účty jako pro ústavní VPN .
Kdo ještě nemá vytvořen VPN účet, tak klikne na odkaz Informace , kde nalezne informace
o Vytvoření a zrušení VPN účtu. Pozor, z bezpečnostních důvodů jsou uvedené VPN stránky přístupné jen z počítačů fyzicky umístěných v lokální síti FZÚ.
Nemá-li pracovník FZÚ ještě vytvořen VPN účet, měl by si před výjezdem do hostitelské organizace tento účet vytvořit ještě za pobytu ve FZÚ.
Aby účty v rámci sítě eduroam byly z hlediska příslušnosti k organizaci lehce rozpoznatelné, používá se za jménem uživatele ještě přípona.
Pro pracovníky z FZÚ to je @fzu.cz. Je-li jméno pracovníka např. user, pak by jeho jméno pro připojení do sítě eduroam bylo user@fzu.cz.
Heslo by pak bylo jeho vpn heslo (viz výše).
Z důvodu automatické kontroly bezpečného připojení do eduroam se musí na počítač uživatele nainstalovat kořenový certifikát FZÚ.
Zde nalezneme Vysvětlení nutnosti instalace kořenového certifikátu FZÚ.
Pravděpodobně někteří pracovnícu FZÚ mají již tento certifikát na svém počítači instalovaný.
Ve FZÚ jsou provozovány bezdrátové (wi-fi) přístupové body i přístupové body s pevnou linkou (ethernet).
Jejich technické parametry jsou
Identifikátor wi-fi sítě SSID: eduroam
Autentizace: 802.1x (EAP)
Zabezpečení wi-fi: WPA2 (je povolen i WPA)
Šifrování wi-fi: AES (je povolen i TKIP)
Internet: IPv4, NAT
Použitá zařízení: Cisco
Následující tabulka přístupových bodů informuje o umístění těchto bodů na pracovištích Cukrovarnická a Slovanka.
Tyto přístupové body umožňují připojení ještě k dalším sítím: fzu-roam a starším sítím cw-working a sw-working.
Informace o těchto sítích naleznete na stránce umístěné v intranetu FZÚ: Je možné používat ve FZÚ radiovou síť WiFi?.
Poznámka pro domácí uživatele
Nastavení počítače pro připojení k síti fzu-roam se provádí stejným způsobem jako pro síť eduroam, kromě nastavení SSID,
kde se vyplní: fzu-roam. Pro síť fzu-roam je povolen algoritmus zabezpečení a šifrování pouze WPA2+EAS.
Omezení připojení v síti eduroam
Do vnitřní sítě FZÚ jsou nastavena omezení, jako pro běžného uživatele z Internetu.
Směrem do Internetu je zakázána pouze služba odesílání pošty (smtp: tcp/25).
Uživatel musí odesílat poštu přes místní poštovní bránu: postak.fzu.cz.
Uživateli je přidělena IP adresa, která z Internetu není vidět (je za NATem).
Tomu také odpovídá omezení. Na tento počítač není možné z Internetu navazovat spojení.
Je to možné jen z počítače směrem do Internetu.
