Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
| Následující verze | Předchozí verze Poslední revize Obě strany příští revize | ||
|
cs:uzivatel:sw:certifikaty [2007/03/19 14:00] 127.0.0.1 upraveno mimo DokuWiki |
cs:uzivatel:sw:certifikaty [2017/03/17 20:40] caletka@cesnet.cz drobná aktualizace |
||
|---|---|---|---|
| Řádek 5: | Řádek 5: | ||
| Pro ochranu před zneužitím uživatelského jména a hesla je třeba | Pro ochranu před zneužitím uživatelského jména a hesla je třeba | ||
| věnovat velkou pozornost nastavení programu suplikant - oblasti týkající | věnovat velkou pozornost nastavení programu suplikant - oblasti týkající | ||
| - | se ověřování certifikátů RADIUS serveru. U webového formuláře není z | + | se ověřování certifikátů RADIUS serveru. |
| - | principu ochrana hesla možná, a proto je | + | |
| - | [[cs:ukonceni_provozu_site_eduroam-simple|provoz eduroam-simple | + | |
| - | ukončován]]. Tento text se týká pouze sítí používajících 802.1x | + | |
| - | označovaných jako //eduroam//. | + | |
| V návodech pro [[cs:uzivatel:sw:win:winxp|MS Windows XP]] a | V návodech pro [[cs:uzivatel:sw:win:winxp|MS Windows XP]] a | ||
| Řádek 19: | Řádek 15: | ||
| je zde nulová. | je zde nulová. | ||
| - | U [[cs:uzivatel:sw:nix:wpa_supplicant|WPA Supplikantu]] na Linuxu lze v debug režimu zjistit, jaký certifikát server používá, a také hlášení o tom, že se nepodařilo certifikát RADIUS serveru ověřit, jsou poměrně srozumitelná.. | + | U [[cs:uzivatel:sw:nix:wpa_supplicant|WPA Supplikantu]] na Linuxu lze v debug režimu zjistit, jaký certifikát server používá, a také hlášení o tom, že se nepodařilo certifikát RADIUS serveru ověřit, jsou poměrně srozumitelná. |
| + | |||
| + | **Správné nastavení se sestává z následujících 3 bodů:** | ||
| - | **Správné nastavení se sestává z následujících 3 bodů.** | ||
| - | **Tučně** | ||
| ==== 1. Ověřování, zda byl certifikát vydán důvěryhodnou CA ==== | ==== 1. Ověřování, zda byl certifikát vydán důvěryhodnou CA ==== | ||
| Nebudete-li ověřovat, že certifikát serveru byl vydán důvěryhodnou CA, | Nebudete-li ověřovat, že certifikát serveru byl vydán důvěryhodnou CA, | ||
| - | vystavujete se nebezpečí, že se váš suplikat připojí ke kterémukoliv | + | vystavujete se nebezpečí, že se váš suplikant připojí ke kterémukoliv |
| serveru ve svém dosahu a předá mu vaše heslo. | serveru ve svém dosahu a předá mu vaše heslo. | ||
| Jméno CA, která vydala certifikát pro váš server, získáte z lokální | Jméno CA, která vydala certifikát pro váš server, získáte z lokální | ||
| - | dokumentace k eduroamu [[cs:pripojene_organizace|vaší instituce]], případně [[cs:uzivatel:sw:certifikaty:raca|zde]]. | + | dokumentace k eduroamu [[cs:pripojene_organizace|vaší instituce]], případně [[cs:uzivatel:sw:certifikaty:raca|ze seznamu na těchto stránkách]]. |
| ==== 2. Připojovat se pouze k vyjmenovaným serverům ==== | ==== 2. Připojovat se pouze k vyjmenovaným serverům ==== | ||
| Řádek 39: | Řádek 35: | ||
| tisíců serverů certifikovaných tou konkrétní CA. V tomto případě už | tisíců serverů certifikovaných tou konkrétní CA. V tomto případě už | ||
| ale máte jednoznačnou identifikaci serveru, a tím tedy i člověka za | ale máte jednoznačnou identifikaci serveru, a tím tedy i člověka za | ||
| - | sever zodpovědného. | + | server zodpovědného. |
| Abyste se připojili pouze ke svým domácím RADIUS serverům, je nutné | Abyste se připojili pouze ke svým domácím RADIUS serverům, je nutné | ||
| zadávat jejich jméno. Tento požadavek je na první pohled možná | zadávat jejich jméno. Tento požadavek je na první pohled možná | ||
| zbytečný, ale když zadáváte adresu web serveru, ke kterému se chcete | zbytečný, ale když zadáváte adresu web serveru, ke kterému se chcete | ||
| - | připojit, děláte přesně toto. Asi nikdo neřekne "připoj mě k | + | připojit, děláte přesně toto. Asi nikdo neřekne „připoj mě k |
| - | nějaké bance" a následně této náhodně vybrané stránce nesvěří své | + | nějaké bance“ a následně této náhodně vybrané stránce nesvěří své |
| přístupové údaje. | přístupové údaje. | ||
| Jméno či jména vašich domácích RADIUS serverů získáte z lokální | Jméno či jména vašich domácích RADIUS serverů získáte z lokální | ||
| - | dokumentace k eduroamu [[cs:pripojene_organizace|vaší instituce]], případně [[cs:uzivatel:sw:certifikaty:raca|zde]]. | + | dokumentace k eduroamu [[cs:pripojene_organizace|vaší instituce]], případně [[cs:uzivatel:sw:certifikaty:raca|ze seznamu na těchto stránkách]]. |
| ==== 3. Zakázané zobrazování výzvy k ověření nových serverů ==== | ==== 3. Zakázané zobrazování výzvy k ověření nových serverů ==== | ||
| Když umožníte zobrazení výzvy k ověření nových serverů nebo | Když umožníte zobrazení výzvy k ověření nových serverů nebo | ||
| - | důvěryhodných certifikačních úřadů, riskujete, že nedopatřením nebo | + | důvěryhodných certifikačních autorit, riskujete, že nedopatřením nebo |
| vědomou akcí nepoučeného uživatele anulujete předchozí dva body. Tento bod se týká pouze MS Windows, nikoliv Linuxu. | vědomou akcí nepoučeného uživatele anulujete předchozí dva body. Tento bod se týká pouze MS Windows, nikoliv Linuxu. | ||
| Řádek 63: | Řádek 59: | ||
| ====== Osobní certifikáty pro připojení k eduroamu ====== | ====== Osobní certifikáty pro připojení k eduroamu ====== | ||
| - | Díky masovému rozšíření MS Windows XP je nejčastěji používanou metodou autentizace uživatele PEAP-MSCHAPv2. Existuje však i řada jiných metod, některé, jako např. EAP-PAP, jsou stejně jako PEAP-MSCHAPv2 založeny na ověřování uživatelského jména a hesla. Naproti tomu EAP-TLS používá osobní certifikát, což zajištuje vyšší uživatelský komfort a bezpečí před zneužitím přihlašovacích údajů. | + | Díky masovému rozšíření MS Windows XP je nejčastěji používanou metodou autentizace uživatele PEAP-MSCHAPv2. Existuje však i řada jiných metod, některé, jako např. EAP-PAP, jsou stejně jako PEAP-MSCHAPv2 založeny na ověřování uživatelského jména a hesla. Naproti tomu EAP-TLS používá osobní certifikát, což zajišťuje vyšší uživatelský komfort a bezpečí před zneužitím přihlašovacích údajů. |
| Pro použití EAP-TLS je nutné, aby vaše instituce tuto metodu podporovala (to se dozvíte z [[cs:pripojene_organizace|lokální dokumentace]]), a potom potřebujete osobní certifikát. Postup jeho získání byste měli získat také z lokální dokumentace vaší instituce. | Pro použití EAP-TLS je nutné, aby vaše instituce tuto metodu podporovala (to se dozvíte z [[cs:pripojene_organizace|lokální dokumentace]]), a potom potřebujete osobní certifikát. Postup jeho získání byste měli získat také z lokální dokumentace vaší instituce. | ||
CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
support@cesnet.cz