Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze | ||
cs:uzivatel:sw:certifikaty [2017/03/17 20:33] caletka@cesnet.cz [Nastavení suplikantu] - formulace o ukončení eduroam-simple |
cs:uzivatel:sw:certifikaty [2022/05/05 09:20] Jan Čáslavský odstraneni odkazu na stranku RACA |
||
---|---|---|---|
Řádek 6: | Řádek 6: | ||
věnovat velkou pozornost nastavení programu suplikant - oblasti týkající | věnovat velkou pozornost nastavení programu suplikant - oblasti týkající | ||
se ověřování certifikátů RADIUS serveru. | se ověřování certifikátů RADIUS serveru. | ||
- | |||
- | Taková ochrana hesla není z principu možná u ověřování pomocí | ||
- | webového formuláře; z toho důvodu byl | ||
- | [[cs:ukonceni_provozu_site_eduroam-simple|provoz eduroam-simple | ||
- | ukončen]]. Tento text se týká pouze sítí používajících 802.1x | ||
- | označovaných jako //eduroam//. | ||
V návodech pro [[cs:uzivatel:sw:win:winxp|MS Windows XP]] a | V návodech pro [[cs:uzivatel:sw:win:winxp|MS Windows XP]] a | ||
Řádek 23: | Řádek 17: | ||
U [[cs:uzivatel:sw:nix:wpa_supplicant|WPA Supplikantu]] na Linuxu lze v debug režimu zjistit, jaký certifikát server používá, a také hlášení o tom, že se nepodařilo certifikát RADIUS serveru ověřit, jsou poměrně srozumitelná. | U [[cs:uzivatel:sw:nix:wpa_supplicant|WPA Supplikantu]] na Linuxu lze v debug režimu zjistit, jaký certifikát server používá, a také hlášení o tom, že se nepodařilo certifikát RADIUS serveru ověřit, jsou poměrně srozumitelná. | ||
- | **Správné nastavení se sestává z následujících 3 bodů.** | + | **Správné nastavení se sestává z následujících 3 bodů:** |
- | **Tučně** | + | |
==== 1. Ověřování, zda byl certifikát vydán důvěryhodnou CA ==== | ==== 1. Ověřování, zda byl certifikát vydán důvěryhodnou CA ==== | ||
Nebudete-li ověřovat, že certifikát serveru byl vydán důvěryhodnou CA, | Nebudete-li ověřovat, že certifikát serveru byl vydán důvěryhodnou CA, | ||
- | vystavujete se nebezpečí, že se váš suplikat připojí ke kterémukoliv | + | vystavujete se nebezpečí, že se váš suplikant připojí ke kterémukoliv |
serveru ve svém dosahu a předá mu vaše heslo. | serveru ve svém dosahu a předá mu vaše heslo. | ||
Jméno CA, která vydala certifikát pro váš server, získáte z lokální | Jméno CA, která vydala certifikát pro váš server, získáte z lokální | ||
- | dokumentace k eduroamu [[cs:pripojene_organizace|vaší instituce]], případně [[cs:uzivatel:sw:certifikaty:raca|zde]]. | + | dokumentace k eduroamu [[cs:pripojene_organizace|vaší instituce]]. |
==== 2. Připojovat se pouze k vyjmenovaným serverům ==== | ==== 2. Připojovat se pouze k vyjmenovaným serverům ==== | ||
Řádek 41: | Řádek 35: | ||
tisíců serverů certifikovaných tou konkrétní CA. V tomto případě už | tisíců serverů certifikovaných tou konkrétní CA. V tomto případě už | ||
ale máte jednoznačnou identifikaci serveru, a tím tedy i člověka za | ale máte jednoznačnou identifikaci serveru, a tím tedy i člověka za | ||
- | sever zodpovědného. | + | server zodpovědného. |
Abyste se připojili pouze ke svým domácím RADIUS serverům, je nutné | Abyste se připojili pouze ke svým domácím RADIUS serverům, je nutné | ||
zadávat jejich jméno. Tento požadavek je na první pohled možná | zadávat jejich jméno. Tento požadavek je na první pohled možná | ||
zbytečný, ale když zadáváte adresu web serveru, ke kterému se chcete | zbytečný, ale když zadáváte adresu web serveru, ke kterému se chcete | ||
- | připojit, děláte přesně toto. Asi nikdo neřekne "připoj mě k | + | připojit, děláte přesně toto. Asi nikdo neřekne „připoj mě k |
- | nějaké bance" a následně této náhodně vybrané stránce nesvěří své | + | nějaké bance“ a následně této náhodně vybrané stránce nesvěří své |
přístupové údaje. | přístupové údaje. | ||
Jméno či jména vašich domácích RADIUS serverů získáte z lokální | Jméno či jména vašich domácích RADIUS serverů získáte z lokální | ||
- | dokumentace k eduroamu [[cs:pripojene_organizace|vaší instituce]], případně [[cs:uzivatel:sw:certifikaty:raca|zde]]. | + | dokumentace k eduroamu [[cs:pripojene_organizace|vaší instituce]]. |
==== 3. Zakázané zobrazování výzvy k ověření nových serverů ==== | ==== 3. Zakázané zobrazování výzvy k ověření nových serverů ==== | ||
Když umožníte zobrazení výzvy k ověření nových serverů nebo | Když umožníte zobrazení výzvy k ověření nových serverů nebo | ||
- | důvěryhodných certifikačních úřadů, riskujete, že nedopatřením nebo | + | důvěryhodných certifikačních autorit, riskujete, že nedopatřením nebo |
vědomou akcí nepoučeného uživatele anulujete předchozí dva body. Tento bod se týká pouze MS Windows, nikoliv Linuxu. | vědomou akcí nepoučeného uživatele anulujete předchozí dva body. Tento bod se týká pouze MS Windows, nikoliv Linuxu. | ||
Řádek 65: | Řádek 59: | ||
====== Osobní certifikáty pro připojení k eduroamu ====== | ====== Osobní certifikáty pro připojení k eduroamu ====== | ||
- | Díky masovému rozšíření MS Windows XP je nejčastěji používanou metodou autentizace uživatele PEAP-MSCHAPv2. Existuje však i řada jiných metod, některé, jako např. EAP-PAP, jsou stejně jako PEAP-MSCHAPv2 založeny na ověřování uživatelského jména a hesla. Naproti tomu EAP-TLS používá osobní certifikát, což zajištuje vyšší uživatelský komfort a bezpečí před zneužitím přihlašovacích údajů. | + | Díky masovému rozšíření MS Windows XP je nejčastěji používanou metodou autentizace uživatele PEAP-MSCHAPv2. Existuje však i řada jiných metod, některé, jako např. EAP-PAP, jsou stejně jako PEAP-MSCHAPv2 založeny na ověřování uživatelského jména a hesla. Naproti tomu EAP-TLS používá osobní certifikát, což zajišťuje vyšší uživatelský komfort a bezpečí před zneužitím přihlašovacích údajů. |
Pro použití EAP-TLS je nutné, aby vaše instituce tuto metodu podporovala (to se dozvíte z [[cs:pripojene_organizace|lokální dokumentace]]), a potom potřebujete osobní certifikát. Postup jeho získání byste měli získat také z lokální dokumentace vaší instituce. | Pro použití EAP-TLS je nutné, aby vaše instituce tuto metodu podporovala (to se dozvíte z [[cs:pripojene_organizace|lokální dokumentace]]), a potom potřebujete osobní certifikát. Postup jeho získání byste měli získat také z lokální dokumentace vaší instituce. |