Informace Fórum Stav sítě ČVUT IDS Hledání Přihlášení Mapa stránek

Návod pro Windows XP

Dne 23.9.2016 byl vydán nový certifikát pro připojení do Eduroam ověřený u společnosti DigiCert. Pokud kontrolujete certifikát u radius serveru (protokol PEAP - nastavení), je nutno jako certifikační autoritu zvolit "DigiCert Assured ID Root CA". V MS Windows je obsažen standardně, do ostaních systémů si jej můžete stáhnout ze stránek pki.cesnet.cz .

Následující návod stručně popisuje, jak nastavit přístup do bezdrátové sítě pomocí protokolu 802.1X ve Windows XP (české verzi). Prvním krokem je instalace ovladačů bezdrátové karty. Doporučujeme použít co nejnovější ovladače a postupovat podle návodu výrobce karty nebo ovladačů. Instalaci ovladačů se zde nebudeme podrobně věnovat.

Příprava

Pokud již máte ovladače nainstalovány, je třeba zkontrolovat, zda je nainstalován i Protokol sítě Internet. Otevřeme okno Síťová připojení a vybereme vlastnosti příslušného Bezdrátového připojení k síti (pravé tlačítko myší nad ikonou nebo jejím popisem a položka Vlastnosti). Vybereme záložku Obecné a přesvědčíme se, že položky, které připojení používá, obsahují aktivovaný Protokol sítě Internet. Pokud tomu tak není, je třeba jej nainstalovat (tlačítko Nainstalovat, volba Protokol, tlačítko Přidat, výrobce Microsoft).

[Obrázek]

Obrázek 1: Nastavení bezdrátové karty - Obecné

Pro komunikaci protokolem 802.1X je potřeba suplikant. V případě Windows XP (SP2 nebo SP1) můžeme použít zabudovaný suplikant AEGIS firmy Meetinghouse. Přesvěčte se ovšem, že vaše Windows XP mají nainstalován alespoň Service Pack 1 (doporučujeme Service Pack 2) a pokud možno všechny záplaty. Lze použít i jiné suplikanty, ale jejich nastavení je mimo rámec tohoto základního návodu, kde se snažíme využít maximum prostředků poskytovaných samotnými Windows, byť se jejich kvalita může zdát v některých případech sporná.

Nastavení

Vše je připraveno a můžeme nastavit přístup do sítě. Opět otevřete okno vlastností bezdrátového připojení k síti a vyberte kartu Bezdrátové sítě. Aktivujte volbu Konfigurovat nastavení bezdrátové sítě pomocí systému Windows. Je možné k nastavování využít i utilit výrobců karet nebo PC, ale těm se budeme případně věnovat v jednotlivých sekcích.

[Obrázek]

Obrázek 2: Nastavení bezdrátové karty - Bezdrátové sítě

Novou síť přidáme pomocí tlačítka Přidat. Na kartě Přidružení vyplníme Síťový název (SSID) na eduroam, zvolíme šifrování dat, automatické poskytování klíče a přesuneme se na kartu Ověřování.

[Obrázek]

Obrázek 3: Vlastnosti bezdrátové sítě - Přidružení v případě SP2

Pro ilustraci jsme zvolili metodu PEAP-MsCHAPv2. Metoda TLS (Karta SmartCard nebo jiný certifikát) vyžaduje i klientský certifikát, zatímco metoda PEAP-MsCHAPv2 používá k ověření uživatele jméno a heslo. Jsou i jiné možnosti, jako například metody TTLS a LEAP, ale ty nejsou konfigurační utilitou Windows XP podporovány a budeme se jim věnovat při popisu u konkrétních karet a utilit.

[Obrázek]

Obrázek 4: Vlastnosti bezdrátové sítě - Ověřování

Zvolíme Povolit v této síti ověřování IEEE 802.1x a vybereme typ Protokol PEAP. Následující volby (Ověřit jako počítač a Ověřit jako hosta) deaktivujeme, t.j. necháme bez označení a pokračujeme k nastavení vlastního ověřování (tlačítko Vlastnosti)

[Obrázek]

Obrázek 5: Vlastnosti protokolu Protected EAP

Zde nastavíme, zda budeme ověřovat certifikát serveru nebo nikoliv. Je bezpečnější ověřování povolit, ale tato část je i zdrojem možných problémů připojení. Zjistíte-li, že se nemůžete připojit do sítě, je jednou z možných voleb i vypnutí ověřování certifikátu serveru. Doporučujeme ovšem ověřování povolit. Zadáte jmeno radius serveru (olse.civ.cvut.cz) a zaškrtnete spravnou certifikační autoritu (AddTrust External CA Root). Na operačnich systémech Microsoft Windows nemusíte certifikát této certifikační autority instalovat, pro ostatní nebo ve zvláštních případech si jej můžete stáhnout ze stránek support.comodo.com. Ve spodní části dialogu zvolíme způsob ověření Zabezpečené heslo (EAP-MsCHAPv2) a tlačítkem Konfigurovat vyvoláme dialog vlastností protokolu EAP-MsCHAPv2, kde zrušíme volbu automatického použití přihlašovacího jména.

[Obrázek]

Obrázek 6: Vlastnosti protokolu EAP-MsCHAPv2

Síť je nastavena a potvrzením jednotlivých dialogů se vrátíme do okna Síťová připojení. Zde se volbou Zobrazit bezdrátové sítě k dispozici přesvědčíme, zda je nakonfigurovaná síť v dosahu a zvolíme Připojit. V případě, ze se k síti připojujeme na daném systému poprvé nebo bylo změněno heslo, objeví se nad spodní lištou výzva k zadání jména a hesla. Jednoduché klepnutí myší vyvolá dialog Zadání pověření. Uživatelské jméno zadejte ve tvaru jmeno@domena a vyplňte heslo. Položku Přihlašovací doména nechte prázdnou.

[Obrázek]

Obrázek 7: Zadání pověření - ověřovacích údajů

Po úspěšném přihlášení WinXP uloží uživatelské jméno a heslo, takže je při dalším připojení nemusíte znovu zadávat. Toto se děje automaticky a není možné tomu zabránit. Pokud nechcete mít přihlašovací údaje trvale uloženy, ať už z bezpečnostních důvodů nebo proto, že počítač používá více lidí, musíte údaje vymazat z registru:

Postup připojování se promítá do ikony a popisu příslušného připojení v okně Síťová připojení a v levé spodní částí okna můžeme vyvolat podrobnosti o připojení (IP adresa). Proběhlo-li připojení úspěšně, ověříme fungovaní sítě například v internetovém prohlížeči nebo v konzoli příkazem ping.

[Obrázek]

Obrázek 8: Síťová připojení

Tento návod je modifikován pro účely vypočetního centra ČVUT. Originál naleznete zde.

Bezdrátové sítě