eduroam je projekt v rámci "TERENA mobility TF", který dovoluje uživatelům transparentní používání sítí propojených organizací. Umožňuje mobilním uživatelům se připojit s jejich přenosnými počítači jako host v cizí hostitelské organizaci k její lokální síti. Host se připojuje zpravidla pomocí wi-fi prostředků nebo poskytnutou pevnou linkou. K ověření (autentizaci) hosta stačí jeho účet (jméno a heslo nebo certifikát) v jeho domovské organizaci. Přípojné body v hostitelské organizaci umožní vzdálené ověření u domovské organizace hosta, kde je jeho účet. Vzdálené ověření se uskutečňuje přes internet zabezpečeným šifrovaným kanálem.
K účelu vzdáleného ověření je v eduroam vytvořeno hierarchické propojení autentizačních (radius) serverů. Každá organizace zapojená do eduroam musí mít pro tyto účely svůj radius server. Radius servery organizací v jednom státě jsou napojeny na národní proxy radius server. V České republice udržuje národní server organizace Cesnet. Tam také nalezneme informace o politice eduroam.
a seznam organizací propojených v České republice.
Jednotlivé státy zastřešuje organizace eduroam.org, kde lze nalézt další informace. Např. zde nalezneme mapu připojených států, kde se po kliknutí dostaneme na stránky jejich zastřešujících eduroam organizací.
Nejpohodlnějším a nejčastějším připojením k eduroam v hostitelské organizaci jsou wi-fi přístupové body (AP - Access Points). Uživatel si na svém přenosném počítači spustí aplikaci Bezdrátové připojení k síti a zde z aktuálního seznamu bezdrátových sítí vybere síť, která se bude zpravidla jmenovat eduroam a k té se připojí.
Záleží ještě na hostitelské organizaci, jaká omezení nastaví uživatelům, kteří u nich budou připojeni k síti eduroam. Uživatelé mohou mít z bezpečnostních důvodů omezenější přístup k internetu a také budou mít určitě omezený přístup k vnitřní lokální síti. Omezení je plně v kompetenci hostitelské organizace.
Uživatelská přihlášení a odhlášení k síti eduroam jsou z bezpečnostních důvodů v hostitelské i domovské organizaci protokolována.
Každá domovská organizace, která je připojena k mezinárodní síti eduroam, udržuje pro své členy účty pro připojení k této síti. V případě ASÚ se používají pro připojení k eduroam stejné účty jako pro ústavní servery. Uživatelé a hesla jsou v LDAP databázi. Každý uživatel má heslo k účtu (to odpovídá heslu k poště) a heslo pro sambu. Samba dovoluje připojit síťový disk ze serveru, zpravidla domovský adresář a jeho heslo se dále využívá k autentizaci do eduroam. Heslo k poště jde změnit terminálovým přihlášením k počítači (např. mail.asu.cas.cz) a zadáním příkazu passwd. Příkaz požaduje zadání starého hesla a potom se zopakuje dvakrát heslo nové. Stejně se chová příkaz smbpasswd pro nastavení hesla k sambě. Délka hesla by měla být alespoň 8 znaků a obě hesla doporučujeme nastavit stejně. V hesle by nemělo být žádné jméno nebo příjmení. Pro změnu hesla slouží nově pohodlnější zadávání pomocí stránky na http://mail.asu.cas.cz. Nemá-li pracovník ASÚ ještě vytvořen ústavní účet, měl by si před výjezdem do hostitelské organizace tento účet vytvořit ještě za pobytu v ASÚ.
Aby účty v rámci sítě eduroam byly z hlediska příslušnosti k organizaci lehce rozpoznatelné, používá se za jménem uživatele ještě přípona. Pro pracovníky z ASÚ to je @asu.cas.cz. Je-li jméno pracovníka např. user, pak by jeho jméno pro připojení do sítě eduroam bylo user@asu.cas.cz.
Heslo by pak bylo jeho samba heslo (viz výše).
Následující tabulka přístupových bodů informuje o umístění těchto bodů na pracovištích Ondřejov a Spořilov. Tabulka přístupových bodů
Poznámka pro uživatele, kteří nemají účet v eduroam
Uživatelé, kteří nemají učet v eduroam, mají tyto možnosti, jak se připojit do sítě ASÚ
MAC adresa, Ondřejov, Spořilov.
Uživatel musí svoji MAC adresu (také fyzickou adresu) sdělit správci, kteří mají právo manipulovat s MAC adresami.
Jsou to zpravidla vedoucí oddělení. Ti zavedou příslušnou adresu do radius serveru. Uživatel se potom připojuje do sítě
mac nebo asu-mac a použije podobné nastavení, jako ostatní uživatelé eduroam. Zavedení MAC adresy se
hodí pro individuální přístup.
Web authentizace, Ondřejov, Spořilov.
Uživatel se od správce dozví aktuální jméno/heslo. To bude platné na kratší dobu a bude vhodné pro hromadný přístup více uživatelů.
Uživatel se připojuje do sítě web nebo asu-web. Připojení se nastavuje podobně, jako v případě účtu v eduroam.
Po připojení uživatel spustí prohlížeč a z něj se dostane pouze na přihlašovací stránku, ať už zadá adresu jakoukoliv.
Po vyplnění přihlašovacích údajů má přístup do sítě.
Poznámka pro domácí uživatele Omezení připojení v síti eduroam
Do vnitřní sítě ASÚ jsou nastavena omezení, jako pro běžného uživatele z internetu.
Směrem do internetu jsou povolené všechny služby.
Uživateli je přidělena IP adresa, která z internetu není vidět (je za NATem).
Tomu také odpovídá omezení. Na tento počítač není možné z internetu navazovat spojení.
Je možné uskutečnit spojení z počítače směrem do internetu.
