====== Nastavení MS Windows XP pro připojení k eduroam ======

Následující návod stručně popisuje, jak nastavit přístup do bezdrátové sítě
pomocí protokolu 802.1X ve Windows XP (české verzi). Prvním krokem je instalace
ovladačů bezdrátové karty. Doporučujeme použít co nejnovější ovladače
a postupovat podle návodu výrobce karty nebo ovladačů. Instalaci ovladačů
se zde nebudeme podrobně věnovat. 

===== Příprava =====

Pokud již máte ovladače nainstalovány, je třeba zkontrolovat, zda
je nainstalován i //Protokol sítě Internet//. Otevřeme okno Síťová
připojení a vybereme vlastnosti příslušného Bezdrátového připojení
k síti (pravé tlačítko myší nad ikonou nebo jejím popisem a položka
Vlastnosti). Vybereme záložku Obecné a přesvědčíme se, že položky,
které připojení používá, obsahují aktivovaný Protokol sítě Internet.
Pokud tomu tak není, je třeba jej nainstalovat (tlačítko Nainstalovat,
volba Protokol, tlačítko Přidat, výrobce Microsoft).

{{:cs:uzivatel:sw:win:winxp:obecne.png|Nastavení bezdrátové karty - Obecné}}

Pro komunikaci protokolem 802.1X je potřeba suplikant. V případě Windows XP (od verze SP2)
můžeme použít zabudovaný suplikant AEGIS firmy [[http://www.mtghouse.com|Meetinghouse]].
Přesvděčte se ovšem, že vaše Windows XP mají nainstalován Service Pack 2 a pokud
možno všechny záplaty. Lze použít i jiné suplikanty, ale jejich nastavení je mimo rámec
tohoto základního návodu, kde se snažíme využít maximum prostředků poskytovaných
samotnými Windows, byť se jejich kvalita může zdát v některých případech sporná.

Pokud bezdrátová síť vyžaduje WPA2, je minimálním požadavkem mít nainstalovaný [[http://www.microsoft.com/downloads/details.aspx?FamilyID=662bb74d-e7c1-48d6-95ee-1459234f4483&displaylang=en|update popsaný v KB893357]].

Posledním krokem před vlastním nastavením by měla být instalace certifikátu příslušné
certifikační autority, pokud už není předinstalován dodvatelem operačního systému.
Z Internet Expoleru lze certifikát nainstalovat přímo. Vyberete odkaz binary a volbu
Otevřít a Nainstalovat certifikát. Pokud podobný postup provedete například v Firefoxu,
nebude při nastavování bezdrátových karet certifikát vidět, protože prohlížeč používá vlastní
úložiště. V tomto případě stáhněte certifikát na disk,
pak ho nainstalujte v souborovém manažeru (jako když spouštíte program). 

===== Nastavení =====

Vše je připraveno a můžeme nastavit přístup do sítě. Pokud jste v dosahu sítě a je veřejně vysílána můžete použít automatického nalezení šítě dostupného z volby //Zobrazit bezdrátové sítě k dispozici// (u ikony v Síťových připojeních nebo na liště) a síť připojit.

{{:cs:uzivatel:sw:win:winxp:eduraom-pripojit.jpg|Připojit}}

Tím se detekuje nastavení šifrovacího mechanismu a ostatní položky jsou nastaveny na základní hodnoty, které třeba změnit. Využijte odkazu //Změnit upřesňující nastavení// v levé liště okna.\\

Pokud jméno (SSID) sítě, do které se chcete připojit, není veřejně vysíláno nebo nejste v dosahu sítě, je
třeba síť nastavit manuálně v záložce bezdrátové sítě vlastností připojení. 

{{:cs:uzivatel:sw:win:winxp:bezdr-pripojeni-vlastnosti.jpg|Nastavení bezdrátové karty - Bezdrátové sítě}}

Použijte tlačítka Přidat a vložte název sítě do kolonky SSID na kartě Přidružení. 
Jinak je možné vybrat ji ze seznamu sítí a nakonfigurovat ji (tlačítko Konfigurovat). 
Pokud budeme síť používat  častěji, je vhodné si ji uložit mezi Upřednostňované sítě 
(tlačítko Přidat) a nakonfigurovat její profil trvale (tlačítko Vlastnosti).


{{:cs:uzivatel:sw:win:winxp:eduroam-vlastnosti-pridruzeni-2.png|Vlastnosti bezdrátové sítě - Přidružení}}

Na kartě Přidružení zvolíme metodu ověřování v síti, šifrování dat a případně 
automatické poskytování klíče. Pokud jsme síť nalezli v seznamu a povelem ji nechali připojit, 
jsou zde již nastaveny správné hodnoty. V eduroamu se používá ověření **WPA2** s šifrováním **AES**.


Přesuneme se na kartu Ověřování. Pro ilustraci jsme zvolili metodu PEAP-MsCHAPv2. 
Metoda TLS (Karta SmartCard nebo jiný certifikát) vyžaduje
i klientský certifikát, zatímco metoda PEAP-MsCHAPv2 používá k ověření
uživatele jméno a heslo. Jsou i jiné možnosti, jako například metody TTLS
a LEAP, ale ty nejsou konfigurační utilitou Windows XP podporovány
a budeme se jim věnovat při popisu u konkrétních karet a utilit.

{{:cs:uzivatel:sw:win:winxp:eduroam-vlastnosti-overovani.jpg|Vlastnosti bezdrátové sítě - Ověřování}}

Zvolíme //Povolit v této síti ověřování IEEE 802.1x// a vybereme typ Protokol PEAP.
Následující volby (Ověřit jako počítač a Ověřit jako hosta) deaktivujeme, t.j.
necháme bez označení a pokračujeme k nastavení vlastního ověřování (tlačítko Vlastnosti)

{{:cs:uzivatel:sw:win:winxp:nastavenipeap1.png|Chráněné vlastnosti protokolu EAP}}

Zde nastavíme ověřování certifikátů serveru, proto byl instalován
certifikát autority. Důrazně doporučujeme ověřování povolit protože je to nezbytná podmínka ochrany vašeho přihlašovacího jména a hesla, o možných rizicích se můžete dozvědět více na stránce "[[cs:uzivatel:sw:certifikaty]]". V textovém poli specifikujete doménová jména vašich domácích 
radiusů. Jméno či jména vašich domácích RADIUS serverů získáte z lokální
dokumentace k eduroamu [[cs:pripojene_organizace|vaší instituce]].
Ve spodní části dialogu zvolíme způsob ověření Zabezpečené heslo (EAP-MsCHAPv2) a tlačítkem Konfigurovat
vyvoláme dialog vlastností protokolu EAP-MsCHAPv2, kde zrušíme volbu automatického
použití přihlašovacího jména.

{{:cs:uzivatel:sw:win:winxp:nastavenipeapkon.png|Vlastnosti protokolu EAP-MsCHAPv2}}

Síť je nastavena a potvrzením jednotlivých dialogů se vrátíme
do okna Síťová připojení. Zde se volbou Zobrazit bezdrátové sítě
k dispozici přesvědčíme, zda je nakonfigurovaná síť v dosahu a
zvolíme Připojit. V případě, ze se k síti připojujeme na daném
systému poprvé nebo bylo změněno heslo, objeví se nad spodní
lištou výzva k zadání jména a hesla. 

{{:cs:uzivatel:sw:win:winxp:eduroam-lista.jpg|Výzva u lišty}}

Jednoduché klepnutí myší
vyvolá dialog Zadání pověření. Uživatelské jméno zadejte ve tvaru
jmeno@domena a vyplňte heslo. Položku Přihlašovací doména nechte
prázdnou.

{{:cs:uzivatel:sw:win:winxp:zadejte-povereni.jpg|Zadání pověření - ověřovacích údajů}}


Po úspěšném přihlášení WinXP uloží uživatelské jméno a heslo,
takže je při dalším připojení nemusíte znovu zadávat. Toto se
děje automaticky a není možné tomu zabránit. Pokud nechcete mít
přihlašovací údaje trvale uloženy, ať už z bezpečnostních důvodů
nebo proto, že počítač používá více lidí, musíte údaje vymazat z
registru:

  * Klikněte na **Start** a zvolte **Spustit...**
  * Do okénka **Otevřít:** napište **regedit** a klikněte na **OK**
  * Vyhledejte klíč **HKEY_CURRENT_USER\Software\Microsoft\EAPOL\UserEapInfo** a klikněte na něj
  * V menu **Úpravy** klikněte na **Odstranit**
  * Kliknutím na **Ano** potvrďte odstranění klíče
  * Ukončete Editor registru

Postup připojování se promítá do ikony a popisu příslušného
připojení v okně <a href="#sitpripoj">Síťová připojení</a> a v
levé spodní částí okna můžeme vyvolat podrobnosti o připojení (IP
adresa). Proběhlo-li připojení úspěšně, ověříme fungovaní sítě
například v internetovém prohlížeči nebo v konzoli příkazem
''ping''

{{:cs:uzivatel:sw:win:winxp:sitpripoj.png|Síťová připojení}}