A KFKI akadémiai telephely csatlakozott a hazai és a nemzetközi EduRoam (Education Roaming) konföderációhoz. Ezért a telephelyi kutatóintézetek dolgozói a csatlakozott intézményekben szabadon használhatják az EduRoam vezetéknélküli hálózatot, és viszonosan, a csatlakozott intézmények munkatársai használhatják a telephelyi EduRoam hálózatot. Az EduRoam szolgáltatás a következő hazai intézményekben vehető igénybe: http://www.niif.hu/eduroam_partners, a külföldi intézmények az EduRoam weboldalán tekinthetők meg.

Az EduRoam szolgáltatás jelenleg az RMKI 2-es, 3-as és 13-as épületeiben, a 14-es épületben (RMKI Számítógép Hálózati Központ) és a 4-es épületben (Könyvtár) vehető igénybe.

A hálózati hozzáféréshez az azonosítás mindenkinek a saját anyaintézményének a szabályai szerint történik.

Sikeres kapcsolódáskor - dinamikus címkiosztással - a mobil számítógép nyilvános IPv4 és IPv6-os címet, DNS szerver és default gateway címet kap, így a külső hálózatok elérése érdekében nincs szükség egyéb konfigurációra.

Ha az eduroam szolgáltatással kapcsolatban bármilyen észrevételük, kérésük vagy kérdésük van, akkor írjanak a sysadm@mail.kfki.hu E-mail címre.

A telephelyi akadémiai hálózat felhasználói az E-mail címűkkel mint felhasználói névvel, és a Postfilter spamszűrési felületen az ehhez a címűkhöz beállított jelszóval azonosíthatják magukat, amikor a telephelyen, vagy bármely, a föderáció tagintézményében használni kívánják az EduRoam szolgáltatást.

A kliens számítógépek beállítását a felhasználóknak kell elvégezniük. Mivel ennek során szüksége van már létező hálózati kapcsolatra, ezért számítógépét még azelőtt készítse fel az EduRoam használatára, mielőtt azt használni kívánná (azaz még itthon, utazás előtt).

• Vezetéknélküli hálózati adapter, támogatott szabványok: IEEE 802.11b/g;
• WPA2 kompatibilitás, TKIP/AES titkosítás, EAP/TTLS (vagy EAP/PEAP) authentikációs mód;
• Telepített NIIF CA tanúsítvány, amely a szerver oldal azonosításához szükséges. A tanúsítvány ellenőrzéséhez és az esetleges telepítéséhez segítséget itt találnak;
• Windows klienseken beépített wireless kliens, vagy Intel PROSet/Wireless (Intel PRO/Wireless Network hardverrel) vagy SecureW2 supplicant;
• Linux klienseken a wpa_supplicant program.

• Windows XP beépített wireless kliens konfiguráció;
• Windows XP Intel PROSet supplicant wireless konfiguráció;
• Windows XP SecureW2 supplicant wireless konfiguráció;
• Windows 7 beépített wireless konfiguráció;
• Dibbler DHCPv6 kliens beállítása Windows XP-n (opcionális, IPv6-hoz);
• Linux WPA supplicant kliens konfiguráció.

A vezeték nélküli hálózatot a Windows konfigurálja kapcsoló legyen kijelölve! Kattintsunk a Tulajdonságok gombra, és a következő ábrának megfelelően állítsuk be a számítógép és az elérési pont közötti azonosítás és adat­titkosítási mód paramétereit:
Hálózati hitelesítés: WPA2
Adattitkosítás: TKIP vagy AES - a kártya/driver képességeinek megfelelően

Jelöljük ki a Kiszolgálói tanúsítvány érvényesítése opciót, írjuk be kiszolgáló szervernek a radius.kfki.hu-t és válasszuk ki a Megbízható legfelső szintű hitelesítésszolgáltatók listájából az NIIF Root CA-t. Ha az NIIF CA nem szerepel a kiválasztható cert-ek között, akkor előbb telepíteni kell azt.

Jelöljük ki a Ne kérje a felhasználót új kiszolgálók vagy megbízható hitelesítésszolgáltató engedélyezésére opciót. A Hitelesítési mód-nak válasszuk az EAP-MSCHAP v2-tőt, majd a Beállítás.. gomb kijelölése után beállíthatjuk azt, hogy a kliens program ne a Windows felhasználói névvel próbáljon hitelesíteni minket:

A beállítások elvégzése után zárjuk le a konfigurációs ablakokat, és csatlakozzunk az eduroam hálózathoz. A kapcsolódáskor felhasználói név és jelszó (E-mail cím és a spamszűrésnél beállított password) megadásával hitelesítenünk kell magunkat. Figyelem: az első csatakozási kísérletnél (helyes konfiguráció beállítása után) a task bar-on lévő WLAN hálózat ikonjánál megjelenik egy üzenetbuborék,

Ha a Postfilter spamszűrő felületen megváltoztatjuk az E-mail címhez tartozó password-ünket, akkor a következő csatlakozásnál kattintsunk a megjelenő "üzenetbuborék"-ra, majd a Hitelesítési adatok megadása ablakba írjuk be az új password-öt. Ha a Spamszűrési jelszó megváltoztatása után a csatlakozás sikertelen, akkor a vezeték nélküli hálózatok közül törölni kell az eduroam profilt, majd újra fel kell venni és a fentiek szerint konfigurálni. A következő kapcsolódáskor az új password megadásával hitelesíthetjük magunkat.

A hatókörön belüli WiFi hálózatok listáját a task bar-on lévő WLAN hálózat szimbólumra kattintva nézhetjük meg:

Válasszuk ki az eduroam hálózatot, majd kattintsunk a Tulajdonságok gombra. A következő ábrának megfelelően állítsuk be a számítógép és az elérési pont közötti azonosítás és adat­titkosítási módot, az azonosítási módszert és az autentikációs protokollt:

Ha a fenti ablakba beírjuk a hitelesítésünkhöz szükséges felhasználói nevet és jelszót (E-mail cím és a spamszűrésnél beállított password), akkor az első sikeres kapcsolódás után a rendszer eltárolja a felhasználói adatokat, és a további kapcsolódáskor már automatikusan hitelesít minket. Ha nem adjuk meg, akkor minden alkalommal azonosítani kell magunkat.

Jelöljük ki a Kiszolgálói tanúsítvány érvényesítése opciót, és válasszuk ki a Tanúsítvány kibocsátója listából az NIIF Root CA-t. Ha az NIIF CA nem szerepel a kiválasztható cert-ek között, akkor előbb telepíteni kell azt. Írjuk be kiszolgáló szervernek a radius.kfki.hu-t

Ha a konfigurálás során nem adtuk meg a felhasználói azonosítónkat, akkor ezt a Csatlakozás kijelölése után megjelenő ablakba kell beírni (E-mail cím és a spamszűrésnél beállított password):

Töltsük le a SecureW2 programot a következő helyről: http://www.securew2.com/node/3", és indítsuk el az installáló programját. Regisztráljuk magunkat, kattintsunk a Next gombra, és fogadjuk el a licenszet.

Indítsuk újra a gépet, majd konfiguráljuk a vezeték nélküli kapcsolatot: Hálózati kapcsolatok --> Vezeték nélküli hálózati kapcsolat (dupla klikk után megjelenik a hatókörön belüli hálózatok listája):

Az elérhető hálózatok közül jelöljük ki az eduroam hálózatot, és a Speciális beállítások módosítása kiválásztásával a következők szerint konfiguráljuk:

1. A vezeték nélküli hálózatot a Windows konfigurálja legyen kijelölve! A Tulajdonságok gombra kattintva léphetünk tovább a következő ablakra



2. Válasszuk a WPA2/TKIP titkosítás:



3. Kattintsunk a Hitelesítés fülre és válaszuk ki a SecureW2 EAP-TTLS-t, mint EAP típust:



4. Kattintsunk a Tulajdonságok fülre, válasszunk egy profil nevet (maradhat a DEFAULT is).



A New, DEFAULT esetén a Configure gomb kijelölésével léphetünk tovább.

5. Állítsuk be a külső identitást (E-mail cím, amelyhez a spamszűrésnél password-öt adtunk ):



6. Válasszuk ki a Certificates fület, jelöljük ki a Verify server certificate opciót, és a Verify server name mozőbe írjuk be a radius.kfki.hu-t.



Első konfigurálásnál kattintsunk az Add CA gombra, és a megjelenő listából válasszuk ki az NIIF Root CA-t:



Kattintsunk az Add CA gombra, majd a következő screenshot-oknak megfelelően konfiguráljunk tovább:



Advanced gomb, majd



jelöljük ki a fenti képen látható opciókat, és az OK gombbal zárjuk le az ablakot.

7. Válasszuk ki az Authentication fület, és állítsuk EAP/SecureW2 EAP-GTC-re:



8. Válasszuk ki a User account fület, és írjuk be a felhasználói nevet (E-mail címünk) és jelszót (a spamszűrésnél beállított password) majd kattintsunk OK gombra.



Ha a Prompt user for credentials opciót jelöljük ki, akkor minden csatlakozásnál hitelesíteni kell magunkat:

Identity : E-mail címünk (amelyet a Specify outer identity-nél kell megadni)
Response: password (amelyet a spamszűrésnél ehhez az e-mail címhez állítottunk be)

9. Csukjuk be a Securew2 ablakot (az OK gomb kijelölésével), és válasszuk ki a Kapcsolat fület, ahol kérhetjük az automatikus kapcsolatfelvételt:



Zárjuk be a konfiguráló ablakot (az OK gomb kijelölésével), és csatlakozzunk az eduroam hálózathoz: kattintsunk a WLAN hálózat szimbólumra a task bar-on, válasszuk ki az eduroam hálózatot, és kattintsunk a Csatlakozás gombra.

A SecureW2 konfigurálását, ill. a beállítások későbbi módosítását elvégezhetjük a TTLS Manager-rel is:
Start --> Minden program --> SecureW2 --> TTLS Manager

1. A Hálózatkezelési beállítások módosítása csoportból válasszuk ki az Új kapcsolat vagy hálózat beállítása lehetőséget.



2. A Kapcsolódási lehetőségek közül jelöljük ki a Csatlakozás kézzel vezeték nélküli hálózathoz ......... lehetőséget:



Kattintsunk a Tovább gombra, majd

3. a következők szerint állítsuk be a számítógép és az elérési pont közötti azonosítás és adat­titkosítási módot:
   Hálózat neve:eduroam
   Biztonság típusa: WPA2-Enterprise
   Titkosítás típusa: TKIP vagy AES - a kártya/driver képességeinek megfelelően
   



A Tovább gomb kijelölése után megjelenő ablakban kattintsunk A kapcsolat beállításainak módosítása lehetőségre, majd válasszuk ki a Biztonság fület és

4. állítsuk be a hálózati hitelesítés módszerét: Microsoft: Védett EAP (PEAP)

   

   Ha kikapcsoljuk a Hitelesítő adatok megjegyzése a kapcsolathoz minden bejelentkezéskor opciót, akkor minden csatlakozáskor hitelesíteni kell magunkat (E-mail cím és a spamszűrésnél beállított password). Ha bekapcsolva hagyjuk, akkor a rendszer eltárolja az adatokat, és a további csatlakozáskor már automatikusan hitelesít minket. A későbbiekben ez a beállítás is megváltoztatható. Jelöljük ki a Beállítások gombot, és

5. módosítsuk a PEAP tulajdonságait:

   

   Jelöljük ki a Kiszolgálói tanúsítvány érvényesítése opciót, írjuk be kiszolgáló szervernek a radius.kfki.hu-t, és válasszuk ki a Megbízható legfelső szintű hitelesítésszolgáltatók listájából az NIIF Root CA-t. Ha az NIIF CA nem szerepel a kiválasztható cert-ek között, akkor előbb telepíteni kell azt.

   Jelöljük ki a Ne kérje a felhasználót új kiszolgálók vagy megbízható hitelesítésszolgáltató engedélyezésére opciót. Hitelesítési mód-nak válasszuk a Biztonságos jelszó:EAP-MSCHAP v2-tőt, majd a Konfigurálás... gombra kattintva be kell állítani azt, hogy a kliens program ne a Windows felhasználói névvel próbáljon hitelesíteni minket:

   

   Fontos, hogy az A Windows bejelenkezési nevem és jelszavam ... opció ne legyen kiválasztva!

   A beállítások elvégzése után zárjuk le (OK gombbal) a konfigurációs ablakokat, és térjünk vissza az eduroam - vezeték nélküli hálózat tulajdonságai konfigurációs ablakhoz, majd

6. kattintsunk a Speciális beállítások gombra, és jelöljük be a Hitelesítési mód megadása opciót. A legördülő menüből válasszuk ki a Felhasználóhitelesítés-t.

   

Zárjuk be a konfiguráló ablakokat (az OK és Bezárás gombok kijelölésével), és csatlakozzunk az eduroam hálózathoz.

ha a kliens eltárolta a hitelesítési adatainkat, akkor automatikusan hitelesít minket.

A Tulajdonságok kiválsztásával megváltoztathatjuk a konfigurációt.

Állapot lekérdezése, kapcsolat bontása:

Kilépni a hálózatból, a fentiekhez hasonlóan, a task bar-on található WLAN ikonra kattintva érdemes. A hatókörön belüli vezeték nélküli hálózati kapcsolat-ok közül jobb egérgombbal válasszuk ki az eduroam hálózatot, majd jelöljük ki a Kapcsolat bontása lehetőséget:

Az eduroam hálózathoz való csatlakozást és a konfiguráció módosítását kezdeményezhetjük a

Start ---> Vezérlőpult ---> Hálózat és Internet ---> Hálózati és megosztási központ ---> Vezeték nélküli hálózatok kezelése

kiválasztásával is.

 

A Dibbler kliens használata Windows XP/2003 rendszereken (IPv6-hoz)

1. Töltsük le a Dibbler kliens programot, majd installáljuk az .exe file elindításával. Elegendő a kliens programot telepíteni, a szerver és a relay komponensre nincs szükség.
2. Javítsuk ki a client.conf file-t:

   Start --> All Programs --> Dibbler  --> Client Edit config file
   

   az alábbiak szerint:

     .
     .
   log-mode short
   # 7 = omit debug messages
   log-level 7
     .
     .
   iface "Wireless Network Connection" {
     option domain
     option dns-server
     ia
   }
   

Írjuk át az interfész nevét, ha szükséges. Az "option dns-server"-t ki lehet hagyni, mert az XP a DNS címek feloldását IPv4 fölött kérdezi.

3. Az eduroam hálózathoz való sikeres csatlakozás után indítsuk el a kliens programot:

   Start --> All Programs --> Dibbler  --> Client Run in the console
   

   A kinyíló parancsértelmező (cmd) ablakban láthatóak a kliens indítási információi.

4. Az IPv6-os kapcsolatot a legegyszerűbben a http://ipv6.niif.hu/ oldal meglátogatásával ellenőrizhetjük (kiírja a kapcsolati protokollt).

A Dibbler kliens programot a Ctrl/C leütésével lehet leállítani.

 

Linux WPA supplicant konfiguráció

Linux Debian/Ubuntu rendszerek konfigurálása:

1. Töltse le és mentse el az NIIF CA tanusítványát:

    # wget -O /etc/ssl/certs/niif_ca_root_x509.pem \
           http://www.ca.niif.hu/Certificates/niif_ca_root_x509.pem
   

2. Adja hozzá az /etc/network/interfaces file-hoz a következő interfész definiciót:

   auto wlan0
   iface wlan0 inet dhcp
     wpa-driver wext
     wpa-identity mailaddr@mail.kfki.hu
     wpa-password jelszo
     wpa-ssid eduroam
     wpa-eap TTLS
     wpa-key-mgmt WPA-EAP
     wpa-ca_cert /etc/ssl/certs/niif_ca_root_x509.pem
     wpa-anonymous_identity anonymous@mail.kfki.hu
     wpa-subject_match /C=HU/O=NIIF CA/OU=KFKI/CN=radius.kfki.hu
   

   A példában használt 'wlan0', 'wext', 'mailaddr@mail.kfki.hu' és 'jelszo' helyett be kell írni a megfelelő interfész nevét, a driver-t és a saját E-mail címet, valamint a hozzá tartozó (a spamszűrésnél beállított) jelszót.

   Vagy használja a következő /etc/wpa_supplicant.conf bejegyzési mintát:

   network = {
       ssid="eduroam"
       eap=TTLS
       key_mgmt=WPA-EAP
       anonymous_identity="anonymous@mail.kfki.hu"
       identity="mailaddr@mail.kfki.hu"
       password="jelszo"
       ca_cert="/etc/ssl/certs/niif_ca_root_x509.pem"
       subject_match="/C=HU/O=NIIF CA/OU=KFKI/CN=radius.kfki.hu"
   }                                                
   

3. Vagy használja a Network Manager programot a Wifi beállítására, értelemszerűen a fentebb megadott paraméterekkel.
4. Vagy ha a wicd programot használja, akkor töltse le a konfigurációs template-t:

   # wget -O /etc/wicd/encryption/templates/ttls-eduroam \
     http://eduroam.kfki.hu/ttls-eduroam
   

   A lehetséges template-k között "TTLS for EduRoam" néven jelenik meg, válassza ki azt és adja meg az E-mail címét mint azonosítót és a jelszavát.

---

© KFKI RMKI SzHK Utolsó frissítés: 2010. március 17.