Termíny

-

-

-

Více... »

Hledat
Pokročilé hledání
Nejčastější problémy při připojení

Analyzovali jsme logy přihlašovaní do sítě eduroam na VŠE za 14 dní z přelomu října a listopadu 2012. Následující přehled je vztažený k jednotlivým zařízením (různým MAC adresám).

Typ problému # zařízení
Chybné uživatelské jméno 1417
Chybné heslo 462
Uživatel bez přístupu do eduroam 72
Problém s certifikátem 105
Odlišné jméno uvnitř tunelu 28
Úspěšně připojeno do eduroam 16243
– nejdříve se zkusí přihlásit jako počítač 5836

Nejdříve jsou uvedeny problémy, které zabraňují přístupu do eduroamu – počítáme pouze zařízení, ze kterých se za uvedených 14 dnů nepodařilo ani jednou úspěšně připojit. Na posledním řádku je uveden počet zařízení, které se nejdříve pokusí přihlásit jménem počítače a až poté se úspěšně připojí se jménem a heslem. Uživatel se připojí s 5 – 10 vteřinovým zpožděním.

Chybné jméno

Uživatelé z VŠE používají pro přihlášení jméno ve tvaru

login@vse.cz

kde login je uživatelské jméno, kterým se přihlašujete do InSISu či lokální počítačové sítě. @vse.cz označuje příslušnost k VŠE (tzv realm).

příklad chybného jména popis
xkrum72 chybí @vse.cz – nejčastější problém,
xbost23@insis.vse.cz místo @vse.cz je uvedeno chybné @insis.vse.cz,
apartman chybí @vse.cz, takové uživatelské jméno na škole nemáme,
Xduds09@Vse.cz velká písmena ve jméně, nemohou být ani v realmu,
xoliz07@GTE CyberTrust Global Root místo @vse.cz uvedeno jméno certifikační autority – ta se uvádí až při nastavení konfigurace připojení,
xlecm00@vse.cz@vse.cz dvakrát uveden realm @vse.cz, možná byla vyplněna i přihlašovací doména (ve Windows),
xstaj73 [at] vse.cz chybně zapsaný @, převzat způsob zobrazení používaný v InSISu,
wR2biWpWicXhXcwuTXga3g==@vse.cz jméno před @vse.cz mně připomíná výsledek hashovací funkce MD5,
xpoki16@vsecz v realmu chybí tečka mezi vse a cz, občas naopak přebývá tečka či mezera,
VSE.CZ\\xmrum11 týká se Windows – v přihlašovacím dialogu zadána doména, doména nesmí být vyplněna,
EDUROAM\\xfojw20@vse.cz týká se Windows – v přihlašovacím dialogu zadána doména, doména nesmí být vyplněna

Chybné heslo

Pro eduroam se používá speciální heslo, které si můžete nastavit na samostatné stránce. Většina zařízení si heslo uloží, takže není potřeba ho zadávat vícekrát. Heslo si můžete na stránce pro jeho nastavení kdykoliv změnit.

Uživatel bez přístupu do eduroam

Přístup do eduroam nemají studenti s přerušeným studiem (nejsou studenti dle vysokoškolského zákona), studenti s ukončeným studiem či bývalí zaměstnanci.

Problém s certifikátem

Certifikáty se používají pro ověření, že se hlásíte do oficiální sítě s názvem eduroam – nelze jednoduše zabránit různým podvodníkům, aby nezačali propagovat falešnou síť s názvem eduroam. Certifikát se používá pro ověření autorizačního serveru – při přihlašování do sítě eduroam počítač nejdříve požádá o certifikát autorizačního serveru. Poté zkontroluje, zda certifikát je podepsán správnou certifikační autoritou – pokud ano, tak teprve nyní se vytvoří zašifrovaný tunel a v něm se  pošle heslo pro ověření na autorizačním serveru.

Na VŠE je autorizační server radius.vse.cz podepsán certifikační autoritou DigiCert Assured ID Root CA. Na každém zařízení by mělo být uvedeno, že bude důvěřovat certifikátu pouze od této certifikační autority.

Problém nastane, pokud uživatel v konfiguraci připojení zaškrtl jinou certifikační autoritu. Tato chyba by mohla vzniknout i pokud v konfiguraci nebyl zadán správný typ autorizace – podporujeme EAP-TTLS a EAP-PEAP (též se označuje jako Microsoft PEAP)

Odlišné jméno uvnitř tunelu

Některé aplikace/některé operační systémy umožňují zadávat dvě jména pro přihlášení – vnější (anonymní) identita se používá pro směrování k autentizačnímu serveru, vnitřní identita se použije při ověřování hesla. Obě identity musí být stejné, popř. jako vnější může být použito anonymous@vse.cz.

V operačním systému Android se používají pojmy Identita a Anonymní identita, ve Windows pojmy Uživatelské jméno (vnitřní identita) a Identita pro roaming.

Přihlášení se jako počítač

Toto je pravděpodobně problém pouze uživatelů s operačními systémy Windows. Operační systém se nejdříve snaží přihlásit pod jménem počítače (např. host/Věruš-PC,  host/wolfik-PC či host/asus-eee-pc) a teprve poté pod zadaným jménem a heslem. Tím vzniká asi 5-10 vteřinová prodleva při připojování do sítě eduroam.

V konfiguraci bezdrátové sítě eduroam lze zrušit „Automaticky použít přihlašovací jméno a heslo pro přihlášení k systému Windows“:

Přesný postup vypnutí je v popisech konfigurací pro jednotlivé operační systémy.


Translate »