====== Připojení k eduroamu v ČR ======

Administrativní rámec české //eduroam// federace je zajištěn [[cs:roamingova_politika|eduroam politikou]]. Instituce připojené k síti CESNET se mohou připojit bez dalších formálních administrativních úkonů. [[cs:spravce:pripojovani:spravci#prohlaseni_zadatele_o_clenstvi_v_ceske_eduroam_federaci|Připojení ostatních institucí]] je možné, pokud instituce splňuje [[https://www.cesnet.cz/podminky/|AP a AUP]] sítě CESNET.

Všechny připojené instituce se připojením k české //eduroam// federaci zavazují dodržovat a respektovat //eduroam// politiku. Základním kamenem //eduroam//u je prinicip reciprocity, krom výjimečných případů není možné připojit organizaci, která nebude poskytovat WiFi konektivitu návštěvníkům. Máte-li pochybnosti, zda je možné vaši organizaci k //eduroam//u připojit, [[info@eduroam.cz|kontaktujte]] nás.


Připojení instituce k //eduroam.cz// je komplexní úkon, je žádoucí, aby se správci instituce předem seznámili s principy fungování //eduroam//u. Tuto problematiku pokrývá dokument "[[:cs:spravce:uvod]]". Technické zapojení je znázorněno na obrázku. Nezbytnou podmínkou je funkční AAI infrastruktura na instituci a dále zprovoznění vlastního RADIUS serveru tak, aby odpovídal eduroam politice parametrům uvedeným dále na těchto stránkách. 

{{ :cs:spravce:pripojovani:typicke-zapojeni-org-do-eduroamu.png? |}}


Zbytek této stránky je koncipován jako úkolovník, kterým se může správce realizující připojování nechat vést. Pro snažší zapojování nových organizací byla vytvořena přehledová stránka [[https://pripojovani.eduroam.cz/|pripojovani.eduroam.cz]]. Správci nově zapojovaných organizací mohou tuto stránku využít pro zjištění aktuálního stavu připojovaní dané organizace. Přehlednou a jasnou formou jsou prezentovány všechny kroky, které je třeba splnit, společně s odkazy na dokumentaci. Správce by v ideálním případě měl postupovat podle zobrazeného stavu nově připojované organizace a neměla by být potřeba dodatečná vysvětlující komunikace.

{{:cs:spravce:pripojovani:pripojovani.png?|}}

Pokud správce nemá dostatečné vlastní kapacity, může využít pomoc i [[cs:spravce:pripojovani:seznam_implementatoru|implementačních firem se zkušenostmi s eduroamem]].

===== Registrace instituce a jmenování správců =====

Každá připojená instituce musí oznámit jaký realm (doménu) bude používat, jak se jmenuje její RADIUS server a [[:cs:spravce:pripojovani:spravci|jmenovat správce]] zodpovědné za provoz serverů instituce a za její uživatele.

[[:cs:spravce:pripojovani:spravci|Další informace ...]]

===== Certifikáty ===== 
Pro spojení s národním RADIUSem přes RadSec/IPsec, musí správce připojované organizace získat certifikát od
uznávané CA. Uznávaná certifikační autorita [[cs:spravce:pripojovani:eduroamca2|eduroam CA 2]] vydává certifikáty pro registrované RADIUS servery.
  
Pro EAP je možno použít jakýkoliv certifikát dle uvážení správců organizace.

[[:cs:spravce:pripojovani:serverove_certifikaty|Další informace ...]]

===== Protokol připojení =====

Protokolem připojení je myšlen protokol pro spojení RADIUSu instituce s národním RADIUSem. Na výběr máme [[:cs:spravce:pripojovani:protokol_pripojeni|RadSec]] nebo RADIUS zabezpečený pomocí [[:cs:spravce:pripojovani:protokol_pripojeni|IPsec]]. 
Používáte-li Linux, BSD doporučujeme použít [[:cs:spravce:pripojovani:radius:freeradius3|FreeRADIUSu v3]] nebo [[cs:spravce:pripojovani:radius:radiator|Radiator]], které [[:cs:spravce:pripojovani:protokol_pripojeni|RadSec]] podporují. Používáte-li RADIUS server, který [[:cs:spravce:pripojovani:protokol_pripojeni|RadSec]] neumí (například Network Policy Server od Microsoftu), budete muset RADIUS provoz zabezpečit pomocí [[:cs:spravce:pripojovani:protokol_pripojeni|IPsec]]. Alternativně se dá pro zabezpečení RADIUS provozu použít [[:cs:spravce:pripojovani:radius:radsecproxy|radsecproxy]], což může být snadnější než konfigurace [[:cs:spravce:pripojovani:protokol_pripojeni|IPsec]], zvláště pokud máte k dispozici Linux server, kde by [[:cs:spravce:pripojovani:radius:radsecproxy|radsecproxy]] mohla být umístěna.

[[:cs:spravce:pripojovani:protokol_pripojeni|Další informace ...]]

===== RADIUS server =====

Jako RADIUS server lze použít v podstatě jakoukoli implementaci RADIUS protokolu. Požadované parametry jsou detailněji rozepsány na stránce [[:cs:spravce:pripojovani:souhrn#pozadavky_na_radius_server|souhrn technických parametrů]]. 

Doporučujeme použít [[:cs:spravce:pripojovani:radius:freeradius3|FreeRADIUS verze 3]].

[[:cs:spravce:pripojovani:radius|Další informace ...]]

===== Testovací účet =====

Organizace připojené v režimu IdP poskytují [[:cs:spravce:pripojovani:testovaci_ucet|testovací účet]], který je použit pro [[:cs:spravce:monitoring|monitoring]]. Současně je nutné zpřístupnit RADIUS server organizace monitoringu.

Monitoring se provádí ze stroje ''monitoring.eduroam.cz'' a je nutno povolit přístup na ICMP ping a port UDP/1812.

===== Informace o pokrytých lokalitách =====

Informace o //eduroam//em pokrytých lokalitách předává každá zapojená instituce pomocí aplikace [[https://pokryti.eduroam.cz/|pokryti.eduroam.cz]]

[[:cs:spravce:pokryti|Další informace ...]]

----

**Po splnění všech výše uvedených a dílčích bodů může být organizace, po následné kontrole, kompletně připojena k české federaci //eduroam//.**

==== další informační zdroje ====

Pro správce je také k dispozici přehled [[:cs:spravce:info|informačních zdrojů]], které mají k dispozici.