Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Následující verze | Předchozí verze | ||
cs:uzivatel:sw:certifikaty [2007/03/19 14:00] 127.0.0.1 upraveno mimo DokuWiki |
cs:uzivatel:sw:certifikaty [2022/05/05 09:20] (aktuální) Jan Čáslavský odstraneni odkazu na stranku RACA |
||
---|---|---|---|
Řádek 5: | Řádek 5: | ||
Pro ochranu před zneužitím uživatelského jména a hesla je třeba | Pro ochranu před zneužitím uživatelského jména a hesla je třeba | ||
věnovat velkou pozornost nastavení programu suplikant - oblasti týkající | věnovat velkou pozornost nastavení programu suplikant - oblasti týkající | ||
- | se ověřování certifikátů RADIUS serveru. U webového formuláře není z | + | se ověřování certifikátů RADIUS serveru. |
- | principu ochrana hesla možná, a proto je | + | |
- | [[cs:ukonceni_provozu_site_eduroam-simple|provoz eduroam-simple | + | |
- | ukončován]]. Tento text se týká pouze sítí používajících 802.1x | + | |
- | označovaných jako //eduroam//. | + | |
V návodech pro [[cs:uzivatel:sw:win:winxp|MS Windows XP]] a | V návodech pro [[cs:uzivatel:sw:win:winxp|MS Windows XP]] a | ||
Řádek 19: | Řádek 15: | ||
je zde nulová. | je zde nulová. | ||
- | U [[cs:uzivatel:sw:nix:wpa_supplicant|WPA Supplikantu]] na Linuxu lze v debug režimu zjistit, jaký certifikát server používá, a také hlášení o tom, že se nepodařilo certifikát RADIUS serveru ověřit, jsou poměrně srozumitelná.. | + | U [[cs:uzivatel:sw:nix:wpa_supplicant|WPA Supplikantu]] na Linuxu lze v debug režimu zjistit, jaký certifikát server používá, a také hlášení o tom, že se nepodařilo certifikát RADIUS serveru ověřit, jsou poměrně srozumitelná. |
+ | |||
+ | **Správné nastavení se sestává z následujících 3 bodů:** | ||
- | **Správné nastavení se sestává z následujících 3 bodů.** | ||
- | **Tučně** | ||
==== 1. Ověřování, zda byl certifikát vydán důvěryhodnou CA ==== | ==== 1. Ověřování, zda byl certifikát vydán důvěryhodnou CA ==== | ||
Nebudete-li ověřovat, že certifikát serveru byl vydán důvěryhodnou CA, | Nebudete-li ověřovat, že certifikát serveru byl vydán důvěryhodnou CA, | ||
- | vystavujete se nebezpečí, že se váš suplikat připojí ke kterémukoliv | + | vystavujete se nebezpečí, že se váš suplikant připojí ke kterémukoliv |
serveru ve svém dosahu a předá mu vaše heslo. | serveru ve svém dosahu a předá mu vaše heslo. | ||
Jméno CA, která vydala certifikát pro váš server, získáte z lokální | Jméno CA, která vydala certifikát pro váš server, získáte z lokální | ||
- | dokumentace k eduroamu [[cs:pripojene_organizace|vaší instituce]], případně [[cs:uzivatel:sw:certifikaty:raca|zde]]. | + | dokumentace k eduroamu [[cs:pripojene_organizace|vaší instituce]]. |
==== 2. Připojovat se pouze k vyjmenovaným serverům ==== | ==== 2. Připojovat se pouze k vyjmenovaným serverům ==== | ||
Řádek 39: | Řádek 35: | ||
tisíců serverů certifikovaných tou konkrétní CA. V tomto případě už | tisíců serverů certifikovaných tou konkrétní CA. V tomto případě už | ||
ale máte jednoznačnou identifikaci serveru, a tím tedy i člověka za | ale máte jednoznačnou identifikaci serveru, a tím tedy i člověka za | ||
- | sever zodpovědného. | + | server zodpovědného. |
Abyste se připojili pouze ke svým domácím RADIUS serverům, je nutné | Abyste se připojili pouze ke svým domácím RADIUS serverům, je nutné | ||
zadávat jejich jméno. Tento požadavek je na první pohled možná | zadávat jejich jméno. Tento požadavek je na první pohled možná | ||
zbytečný, ale když zadáváte adresu web serveru, ke kterému se chcete | zbytečný, ale když zadáváte adresu web serveru, ke kterému se chcete | ||
- | připojit, děláte přesně toto. Asi nikdo neřekne "připoj mě k | + | připojit, děláte přesně toto. Asi nikdo neřekne „připoj mě k |
- | nějaké bance" a následně této náhodně vybrané stránce nesvěří své | + | nějaké bance“ a následně této náhodně vybrané stránce nesvěří své |
přístupové údaje. | přístupové údaje. | ||
Jméno či jména vašich domácích RADIUS serverů získáte z lokální | Jméno či jména vašich domácích RADIUS serverů získáte z lokální | ||
- | dokumentace k eduroamu [[cs:pripojene_organizace|vaší instituce]], případně [[cs:uzivatel:sw:certifikaty:raca|zde]]. | + | dokumentace k eduroamu [[cs:pripojene_organizace|vaší instituce]]. |
==== 3. Zakázané zobrazování výzvy k ověření nových serverů ==== | ==== 3. Zakázané zobrazování výzvy k ověření nových serverů ==== | ||
Když umožníte zobrazení výzvy k ověření nových serverů nebo | Když umožníte zobrazení výzvy k ověření nových serverů nebo | ||
- | důvěryhodných certifikačních úřadů, riskujete, že nedopatřením nebo | + | důvěryhodných certifikačních autorit, riskujete, že nedopatřením nebo |
vědomou akcí nepoučeného uživatele anulujete předchozí dva body. Tento bod se týká pouze MS Windows, nikoliv Linuxu. | vědomou akcí nepoučeného uživatele anulujete předchozí dva body. Tento bod se týká pouze MS Windows, nikoliv Linuxu. | ||
Řádek 63: | Řádek 59: | ||
====== Osobní certifikáty pro připojení k eduroamu ====== | ====== Osobní certifikáty pro připojení k eduroamu ====== | ||
- | Díky masovému rozšíření MS Windows XP je nejčastěji používanou metodou autentizace uživatele PEAP-MSCHAPv2. Existuje však i řada jiných metod, některé, jako např. EAP-PAP, jsou stejně jako PEAP-MSCHAPv2 založeny na ověřování uživatelského jména a hesla. Naproti tomu EAP-TLS používá osobní certifikát, což zajištuje vyšší uživatelský komfort a bezpečí před zneužitím přihlašovacích údajů. | + | Díky masovému rozšíření MS Windows XP je nejčastěji používanou metodou autentizace uživatele PEAP-MSCHAPv2. Existuje však i řada jiných metod, některé, jako např. EAP-PAP, jsou stejně jako PEAP-MSCHAPv2 založeny na ověřování uživatelského jména a hesla. Naproti tomu EAP-TLS používá osobní certifikát, což zajišťuje vyšší uživatelský komfort a bezpečí před zneužitím přihlašovacích údajů. |
Pro použití EAP-TLS je nutné, aby vaše instituce tuto metodu podporovala (to se dozvíte z [[cs:pripojene_organizace|lokální dokumentace]]), a potom potřebujete osobní certifikát. Postup jeho získání byste měli získat také z lokální dokumentace vaší instituce. | Pro použití EAP-TLS je nutné, aby vaše instituce tuto metodu podporovala (to se dozvíte z [[cs:pripojene_organizace|lokální dokumentace]]), a potom potřebujete osobní certifikát. Postup jeho získání byste měli získat také z lokální dokumentace vaší instituce. |