Eduroam

Pokyny pro uživatele školní počítačové sítě

Připojení k internetu

Školní počítačová síť je připojena pevnou optickou linkou s přenosovou rychlostí 1 Gbps. Skupiny uživatelů sdílejí veřejné IPv4 adresy. Po připojení zařízení k síti obdrží každé zařízení unikátní privátní IPv4 adresu, která je na hraničním routeru přeložena (SNAT) na veřejnou.

Monitoring, soukromí

Po celou dobu připojení a využití školní počítačové sítě je síťová aktivita uživatele monitorována automatizovanými prostředky v rozsahu nezbytně nutném pro zajištění řádného chodu počítačové sítě. Prozovatel sítě si vyhrazuje právo odepřít libovolnému uživateli přístup k síti za účelem jejího bezpečného provozu.

Rozsah osobních údajů sbíraných v souladu s právem ČR/EU (GDPR) jako oprávněný zájem (v případě i domnělého porušení práva se poškozený může obrátit na Úřad pro ochranu osobních údajů):

MAC adresa (anonymizace či dynamické změny adresy mohou vést k opakovaným automatickým odpojováním zařízení od sítě; technická podpora neřeší problémy spojené s dynamickou MAC adresou);
privátní IP adresa dynamicky přidělená (DHCP) zařízení po připojení (stejnou privátní adresu může obdržet i jiné zařízení, pokud bude použitý rozsah adres vyčerpán a předchozí zařízení se mezitím odpojí);
skupinová veřejná IP adresa přidělená na základě členství v uživatelské skupině (z podstaty není osobním údajem);
uskutečněná relace zahnrující IP adresu komunikující protistrany, typ spojení a další identifikační znaky datového přenosu (např. čísla portů), ne však obsah přenosu;
identifikační údaje jako přihlašovací jméno (login), CUI, osobní jméno či elektronická adresa, které uživatel použil při ověřování své identity při přihlašování k síti (viz též ochranu osobních údajů federace eduroam®).

Je v zájmu uživatele, aby přednostně využíval zabezpečených služeb a zajistil si tím soukromí.

Použití počítačové sítě

Vnitřní počítačovou síť je oprávněn použít každý uživatel sítě, pokud mu toto právo nebylo odejmuto. K vnitřní síti se může oprávněný uživatel připojit výhradně prostřednictvím pevné kabelové sítě v budově pevně instalovanými počítačovými systémy, nebo se souhlasem pověřené osoby bezdrátově vlastním zařízením (BYOD). Po připojení je uživatel oprávněn využívat prostředky sítě jen v jemu určeném rozsahu, na případný bezpečnostní incident upozorní pověřenou osobu.

Vnější počítačovou síť je oprávněn použít každý uživatel vnitřní sítě, dále cizí identifikovaný oprávněný uživatel sítě eduroam® a host, který poskytne osobní identifikační údaje. K vnější počítačové síti je možné připojit se pouze vlastním bezdrátovým zařízením. Vnější počítačová síť umožňuje využití pouze veřejných služeb (veřejně přístupné webové služby a aplikace) a připojení k internetu.

Uživatelé se připojením k vnitřní síti zavazují také k dodržování řádu školní počítačové sítě, který je nedílnou součástí školního řádu, připojením k vnější síti, a to i v případě připojení k síti eduroam® ve vzdálných sítích, se zavazují také k dodržování roamingové politiky a podmínek přístupu k infrastruktuře CESNET (v pravidlech platných pro koncové uživatele - účastníky). Na přístup k sítím není právní nárok.

Přihlášení (autentizace)

Do sítě se uživatelé přihlašují svým celým přihlašovacím jménem, které jim bylo přiděleno, a heslem, které si zvolili (počáteční heslo po vytvoření účtu si domácí uživatelé musí bezprostředně změnit; změna hesla je možná pouze po přihlášení původním heslem do vnitřní sítě prostředky Windows AD). Přihlašování se cizími autentizačními údaji je zakázáno.

Domácí uživatelé mají přihlašovací jméno v podobě <login>@ad.gyarab.cz, která je společná jak pro autentizaci do vnitřní sítě, tak do vnější sítě, ale také do celosvětové sítě eduroam®. (Vzdáleným uživatelům sítě eduroam® vytvářejí a spravují účty jejich domácí správci.)

Přihlášení do školních počítačů zařazených do domény (pevně připojená PC) je možné i bez domény (realmu), tedy k přihlášení postačí pouze <login> a heslo. (Některé starší systémy nepodporují přihlašovací jméno s realmem, v tom a jen v tom případě se přihlaste pomocí GARAB\<login>.)

Konfigurace bezdrátového připojení

Na vlastním zařízení je možné si nakonfigurovat připojení k vnitřní síti (pouze místně) podle pokynů pověřené osoby, ale také k síti eduroam® s možností připojení se v kterémkoliv přípojném místě na světě (univerzity, kampusy, vědecká pracoviště, knihovny apod.). Bezdrátová síť využívá protokol IEEE 802.1X (během ověřování uživatele se využívá šifrování AES/WPA2 a po prvotním nastavení probíhá automaticky). Pokud zařízení sdílí více lidí, neukládejte heslo a po každém použití se odpojte, jinak může jiná odoba zneužít Vaší identity.

Nejsnazší způsob nastavení bezdrátového profilu je použití aplikace eduroam CAT, která je k dispozici pro různé operační systémy. Mezi organizacemi vyhledejte jméno školy (stačí začít psát "arab", možná bude potřeba přepnout zemi na ČR) a stáhněte konfigurační nástroj pro svůj operační systém. Dále pokračujte podle pokynů. Na závěr raději zkontrolujte, zda se parametry připojení správně nastavily (viz ruční nastavení v následujícím odstavci).

Pokud není Váš operační systém v seznamu, nebo se nedaří nástroj použít z jiného důvodu, případně nástroj nenastavil všechny parametry správně, můžete připojení nastavit ručně:

pro různé OS jsou k dipozici návody;
certifikační autoritou (CA) je Let’s Encrypt a důvěryhodným kořenovým certifikátem DST Root CA X3 (tato CA je všeobecně uznávaná a Váš OS by ji měl normálně uznat, v opačném případě si můžete kořenový certifikát stáhnout a po jeho vypršení obnovit);
skrývejte svou identitu v cizích sítích, do pole Anonymní identita (název se může lišit podle OS) uveďte anonymous@ad.gyarab.cz;
doménový název ověřovacího serveru je radius.gyarab.cz - nikdy neignorujte ověření serveru, vystavujete se tak riziku zkopírování své identity, pokud se připojíte k podvrženému přístupovému bodu.

Přehled základních údajů

Národní provozovatel eduroam®

CESNET (sponzor členství)
mapa pokrytí
dostupnost (end-to-end)

Automatický konfigurátor eduroam®

eduroam®CAT

Univerzální login domácích uživatelů

<login>@ad.gyarab.cz

Anonymní identita

anonymous@ad.gyarab.cz

Název veřejné sítě

eduroam

Název neveřejných sítí

GA-P1, GA-P2, GA-P3, GA-P4

Autentizace

WPA2 Enterprise (pro PSK WPA2 Personal)

Zabezpečení

WPA2 Enterprise (hotspot bez zabezpečení)

Šifrování

AES

Ověřování 802.1X

Protected EAP (PEAP) a MSCHAPv2

Certifikační autorita

obecně uznávaná, systémové úložiště
(Let's Encrypt ISRG Root X1)

Důvěryhodný autentizační server

radius.gyarab.cz
    Blokované porty
25, 137-139
    IP adresy
privátní, překládané
    
    Tipy
    
      
        v loginu ani v doménovém jménu není mezera
        některé klávesnice vkládají mezeru za tečku (nutno vymazat)
        vložené hodnoty jsou citlivé na velikost písmen
        CAT pro Android nenastaví správně CA ani radius.gyarab.cz (nutno nastavit ručně)
        vždy nechte své zařízení ověřovat autentizační server
        nesdílejte své zařízení s další osobou, nebo zajistěte neuložení hesla
        udržujte své heslo v bezpečí, v případě možného zneužití ho rychle změňte