cs:uzivatel:sw:certifikaty

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
cs:uzivatel:sw:certifikaty [2017/03/17 20:33]
caletka@cesnet.cz [Nastavení suplikantu] - formulace o ukončení eduroam-simple
cs:uzivatel:sw:certifikaty [2017/03/17 20:40] (current)
caletka@cesnet.cz drobná aktualizace
Line 6: Line 6:
 věnovat velkou pozornost nastavení programu suplikant - oblasti týkající věnovat velkou pozornost nastavení programu suplikant - oblasti týkající
 se ověřování certifikátů RADIUS serveru. ​ se ověřování certifikátů RADIUS serveru. ​
- 
-Taková ochrana hesla není z principu možná u ověřování pomocí 
-webového formuláře;​ z toho důvodu byl  
-[[cs:​ukonceni_provozu_site_eduroam-simple|provoz eduroam-simple 
-ukončen]]. Tento text se týká pouze sítí používajících 802.1x 
-označovaných jako //​eduroam//​. 
  
 V návodech pro [[cs:​uzivatel:​sw:​win:​winxp|MS Windows XP]] a V návodech pro [[cs:​uzivatel:​sw:​win:​winxp|MS Windows XP]] a
Line 23: Line 17:
 U [[cs:​uzivatel:​sw:​nix:​wpa_supplicant|WPA Supplikantu]] na Linuxu lze v debug režimu zjistit, jaký certifikát server používá, a také hlášení o tom, že se nepodařilo certifikát RADIUS serveru ověřit, jsou poměrně srozumitelná. U [[cs:​uzivatel:​sw:​nix:​wpa_supplicant|WPA Supplikantu]] na Linuxu lze v debug režimu zjistit, jaký certifikát server používá, a také hlášení o tom, že se nepodařilo certifikát RADIUS serveru ověřit, jsou poměrně srozumitelná.
  
-**Správné nastavení se sestává z následujících 3 bodů.** +**Správné nastavení se sestává z následujících 3 bodů:** 
-**Tučně**+
  
 ==== 1. Ověřování,​ zda byl certifikát vydán důvěryhodnou CA ==== ==== 1. Ověřování,​ zda byl certifikát vydán důvěryhodnou CA ====
  
 Nebudete-li ověřovat, že certifikát serveru byl vydán důvěryhodnou CA, Nebudete-li ověřovat, že certifikát serveru byl vydán důvěryhodnou CA,
-vystavujete se nebezpečí,​ že se váš suplikat ​připojí ke kterémukoliv+vystavujete se nebezpečí,​ že se váš suplikant ​připojí ke kterémukoliv
 serveru ve svém dosahu a předá mu vaše heslo. serveru ve svém dosahu a předá mu vaše heslo.
  
 Jméno CA, která vydala certifikát pro váš server, získáte z lokální Jméno CA, která vydala certifikát pro váš server, získáte z lokální
-dokumentace k eduroamu [[cs:​pripojene_organizace|vaší instituce]],​ případně [[cs:​uzivatel:​sw:​certifikaty:​raca|zde]].+dokumentace k eduroamu [[cs:​pripojene_organizace|vaší instituce]],​ případně [[cs:​uzivatel:​sw:​certifikaty:​raca|ze seznamu na těchto stránkách]].
  
 ==== 2. Připojovat se pouze k vyjmenovaným serverům ==== ==== 2. Připojovat se pouze k vyjmenovaným serverům ====
Line 41: Line 35:
 tisíců serverů certifikovaných tou konkrétní CA. V tomto případě už tisíců serverů certifikovaných tou konkrétní CA. V tomto případě už
 ale máte jednoznačnou identifikaci serveru, a tím tedy i člověka za ale máte jednoznačnou identifikaci serveru, a tím tedy i člověka za
-sever zodpovědného.+server ​zodpovědného.
  
 Abyste se připojili pouze ke svým domácím RADIUS serverům, je nutné Abyste se připojili pouze ke svým domácím RADIUS serverům, je nutné
 zadávat jejich jméno. Tento požadavek je na první pohled možná zadávat jejich jméno. Tento požadavek je na první pohled možná
 zbytečný, ale když zadáváte adresu web serveru, ke kterému se chcete zbytečný, ale když zadáváte adresu web serveru, ke kterému se chcete
-připojit, děláte přesně toto. Asi nikdo neřekne ​"připoj mě k +připojit, děláte přesně toto. Asi nikdo neřekne ​připoj mě k 
-nějaké bance" ​a následně této náhodně vybrané stránce nesvěří své+nějaké bance“ a následně této náhodně vybrané stránce nesvěří své
 přístupové údaje. přístupové údaje.
  
 Jméno či jména vašich domácích RADIUS serverů získáte z lokální Jméno či jména vašich domácích RADIUS serverů získáte z lokální
-dokumentace k eduroamu [[cs:​pripojene_organizace|vaší instituce]],​ případně [[cs:​uzivatel:​sw:​certifikaty:​raca|zde]].+dokumentace k eduroamu [[cs:​pripojene_organizace|vaší instituce]],​ případně [[cs:​uzivatel:​sw:​certifikaty:​raca|ze seznamu na těchto stránkách]].
  
 ==== 3. Zakázané zobrazování výzvy k ověření nových serverů ==== ==== 3. Zakázané zobrazování výzvy k ověření nových serverů ====
  
 Když umožníte zobrazení výzvy k ověření nových serverů nebo Když umožníte zobrazení výzvy k ověření nových serverů nebo
-důvěryhodných certifikačních ​úřadů, riskujete, že nedopatřením nebo+důvěryhodných certifikačních ​autorit, riskujete, že nedopatřením nebo
 vědomou akcí nepoučeného uživatele anulujete předchozí dva body. Tento bod se týká pouze MS Windows, nikoliv Linuxu. vědomou akcí nepoučeného uživatele anulujete předchozí dva body. Tento bod se týká pouze MS Windows, nikoliv Linuxu.
  
Line 65: Line 59:
 ====== Osobní certifikáty pro připojení k eduroamu ====== ====== Osobní certifikáty pro připojení k eduroamu ======
  
-Díky masovému rozšíření MS Windows XP je nejčastěji používanou metodou autentizace uživatele PEAP-MSCHAPv2. Existuje však i řada jiných metod, některé, jako např. EAP-PAP, jsou stejně jako PEAP-MSCHAPv2 založeny na ověřování uživatelského jména a hesla. Naproti tomu EAP-TLS používá osobní certifikát,​ což zajištuje vyšší uživatelský komfort a bezpečí před zneužitím přihlašovacích údajů.+Díky masovému rozšíření MS Windows XP je nejčastěji používanou metodou autentizace uživatele PEAP-MSCHAPv2. Existuje však i řada jiných metod, některé, jako např. EAP-PAP, jsou stejně jako PEAP-MSCHAPv2 založeny na ověřování uživatelského jména a hesla. Naproti tomu EAP-TLS používá osobní certifikát,​ což zajišťuje vyšší uživatelský komfort a bezpečí před zneužitím přihlašovacích údajů.
  
 Pro použití EAP-TLS je nutné, aby vaše instituce tuto metodu podporovala (to se dozvíte z [[cs:​pripojene_organizace|lokální dokumentace]]),​ a potom potřebujete osobní certifikát. Postup jeho získání byste měli získat také z lokální dokumentace vaší instituce. Pro použití EAP-TLS je nutné, aby vaše instituce tuto metodu podporovala (to se dozvíte z [[cs:​pripojene_organizace|lokální dokumentace]]),​ a potom potřebujete osobní certifikát. Postup jeho získání byste měli získat také z lokální dokumentace vaší instituce.
Last modified:: 2017/03/17 20:40