This shows you the differences between two versions of the page.
| Both sides previous revision Previous revision | |||
|
cs:uzivatel:sw:certifikaty [2017/03/17 20:33] caletka@cesnet.cz [Nastavení suplikantu] - formulace o ukončení eduroam-simple |
cs:uzivatel:sw:certifikaty [2017/03/17 20:40] (current) caletka@cesnet.cz drobná aktualizace |
||
|---|---|---|---|
| Line 6: | Line 6: | ||
| věnovat velkou pozornost nastavení programu suplikant - oblasti týkající | věnovat velkou pozornost nastavení programu suplikant - oblasti týkající | ||
| se ověřování certifikátů RADIUS serveru. | se ověřování certifikátů RADIUS serveru. | ||
| - | |||
| - | Taková ochrana hesla není z principu možná u ověřování pomocí | ||
| - | webového formuláře; z toho důvodu byl | ||
| - | [[cs:ukonceni_provozu_site_eduroam-simple|provoz eduroam-simple | ||
| - | ukončen]]. Tento text se týká pouze sítí používajících 802.1x | ||
| - | označovaných jako //eduroam//. | ||
| V návodech pro [[cs:uzivatel:sw:win:winxp|MS Windows XP]] a | V návodech pro [[cs:uzivatel:sw:win:winxp|MS Windows XP]] a | ||
| Line 23: | Line 17: | ||
| U [[cs:uzivatel:sw:nix:wpa_supplicant|WPA Supplikantu]] na Linuxu lze v debug režimu zjistit, jaký certifikát server používá, a také hlášení o tom, že se nepodařilo certifikát RADIUS serveru ověřit, jsou poměrně srozumitelná. | U [[cs:uzivatel:sw:nix:wpa_supplicant|WPA Supplikantu]] na Linuxu lze v debug režimu zjistit, jaký certifikát server používá, a také hlášení o tom, že se nepodařilo certifikát RADIUS serveru ověřit, jsou poměrně srozumitelná. | ||
| - | **Správné nastavení se sestává z následujících 3 bodů.** | + | **Správné nastavení se sestává z následujících 3 bodů:** |
| - | **Tučně** | + | |
| ==== 1. Ověřování, zda byl certifikát vydán důvěryhodnou CA ==== | ==== 1. Ověřování, zda byl certifikát vydán důvěryhodnou CA ==== | ||
| Nebudete-li ověřovat, že certifikát serveru byl vydán důvěryhodnou CA, | Nebudete-li ověřovat, že certifikát serveru byl vydán důvěryhodnou CA, | ||
| - | vystavujete se nebezpečí, že se váš suplikat připojí ke kterémukoliv | + | vystavujete se nebezpečí, že se váš suplikant připojí ke kterémukoliv |
| serveru ve svém dosahu a předá mu vaše heslo. | serveru ve svém dosahu a předá mu vaše heslo. | ||
| Jméno CA, která vydala certifikát pro váš server, získáte z lokální | Jméno CA, která vydala certifikát pro váš server, získáte z lokální | ||
| - | dokumentace k eduroamu [[cs:pripojene_organizace|vaší instituce]], případně [[cs:uzivatel:sw:certifikaty:raca|zde]]. | + | dokumentace k eduroamu [[cs:pripojene_organizace|vaší instituce]], případně [[cs:uzivatel:sw:certifikaty:raca|ze seznamu na těchto stránkách]]. |
| ==== 2. Připojovat se pouze k vyjmenovaným serverům ==== | ==== 2. Připojovat se pouze k vyjmenovaným serverům ==== | ||
| Line 41: | Line 35: | ||
| tisíců serverů certifikovaných tou konkrétní CA. V tomto případě už | tisíců serverů certifikovaných tou konkrétní CA. V tomto případě už | ||
| ale máte jednoznačnou identifikaci serveru, a tím tedy i člověka za | ale máte jednoznačnou identifikaci serveru, a tím tedy i člověka za | ||
| - | sever zodpovědného. | + | server zodpovědného. |
| Abyste se připojili pouze ke svým domácím RADIUS serverům, je nutné | Abyste se připojili pouze ke svým domácím RADIUS serverům, je nutné | ||
| zadávat jejich jméno. Tento požadavek je na první pohled možná | zadávat jejich jméno. Tento požadavek je na první pohled možná | ||
| zbytečný, ale když zadáváte adresu web serveru, ke kterému se chcete | zbytečný, ale když zadáváte adresu web serveru, ke kterému se chcete | ||
| - | připojit, děláte přesně toto. Asi nikdo neřekne "připoj mě k | + | připojit, děláte přesně toto. Asi nikdo neřekne „připoj mě k |
| - | nějaké bance" a následně této náhodně vybrané stránce nesvěří své | + | nějaké bance“ a následně této náhodně vybrané stránce nesvěří své |
| přístupové údaje. | přístupové údaje. | ||
| Jméno či jména vašich domácích RADIUS serverů získáte z lokální | Jméno či jména vašich domácích RADIUS serverů získáte z lokální | ||
| - | dokumentace k eduroamu [[cs:pripojene_organizace|vaší instituce]], případně [[cs:uzivatel:sw:certifikaty:raca|zde]]. | + | dokumentace k eduroamu [[cs:pripojene_organizace|vaší instituce]], případně [[cs:uzivatel:sw:certifikaty:raca|ze seznamu na těchto stránkách]]. |
| ==== 3. Zakázané zobrazování výzvy k ověření nových serverů ==== | ==== 3. Zakázané zobrazování výzvy k ověření nových serverů ==== | ||
| Když umožníte zobrazení výzvy k ověření nových serverů nebo | Když umožníte zobrazení výzvy k ověření nových serverů nebo | ||
| - | důvěryhodných certifikačních úřadů, riskujete, že nedopatřením nebo | + | důvěryhodných certifikačních autorit, riskujete, že nedopatřením nebo |
| vědomou akcí nepoučeného uživatele anulujete předchozí dva body. Tento bod se týká pouze MS Windows, nikoliv Linuxu. | vědomou akcí nepoučeného uživatele anulujete předchozí dva body. Tento bod se týká pouze MS Windows, nikoliv Linuxu. | ||
| Line 65: | Line 59: | ||
| ====== Osobní certifikáty pro připojení k eduroamu ====== | ====== Osobní certifikáty pro připojení k eduroamu ====== | ||
| - | Díky masovému rozšíření MS Windows XP je nejčastěji používanou metodou autentizace uživatele PEAP-MSCHAPv2. Existuje však i řada jiných metod, některé, jako např. EAP-PAP, jsou stejně jako PEAP-MSCHAPv2 založeny na ověřování uživatelského jména a hesla. Naproti tomu EAP-TLS používá osobní certifikát, což zajištuje vyšší uživatelský komfort a bezpečí před zneužitím přihlašovacích údajů. | + | Díky masovému rozšíření MS Windows XP je nejčastěji používanou metodou autentizace uživatele PEAP-MSCHAPv2. Existuje však i řada jiných metod, některé, jako např. EAP-PAP, jsou stejně jako PEAP-MSCHAPv2 založeny na ověřování uživatelského jména a hesla. Naproti tomu EAP-TLS používá osobní certifikát, což zajišťuje vyšší uživatelský komfort a bezpečí před zneužitím přihlašovacích údajů. |
| Pro použití EAP-TLS je nutné, aby vaše instituce tuto metodu podporovala (to se dozvíte z [[cs:pripojene_organizace|lokální dokumentace]]), a potom potřebujete osobní certifikát. Postup jeho získání byste měli získat také z lokální dokumentace vaší instituce. | Pro použití EAP-TLS je nutné, aby vaše instituce tuto metodu podporovala (to se dozvíte z [[cs:pripojene_organizace|lokální dokumentace]]), a potom potřebujete osobní certifikát. Postup jeho získání byste měli získat také z lokální dokumentace vaší instituce. | ||
CESNET, z. s. p. o.
Zikova 4, 16000 Praha 6
Tel: +420 224 352 994
Fax: +420 224 320 269
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
Fax: +420 224 313 211
support@cesnet.cz