#format wiki #acl Default #language sl = Brezžično omrežje = <> == Eduroam == Brezžično omrežje na IJS je del evropske sheme gostovanja in projekta mobilnosti v raziskovalni in izobraževalni sferi [[https://www.eduroam.org/|Eduroam]], ki ga v Sloveniji koordinira [[https://www.arnes.si/|Arnes]]. [[https://www.eduroam.si/|Slovenski uporabniki Eudroam]] lahko gostujejo po evropskih univerzah in raziskovalnih ustanovah, povezanih v shemo Eduroam, prav tako pa lahko tudi obiskovalci iz teh ustanov gostujejo v brezžičnih omrežjih slovenskih ustanov članic. Uporabnikom je tako omogočen preprost in varen dostop do lastnega in drugih brezžičnih omrežij na enoten način. Uporabniška imena in gesla dodeli matična ustanova. Uporabniška imena institutskih uporabnikov v sistemu Eduroam so oblike: <>. == Pridobitev uporabniškega imena za Eduroam == {{https:/slike/povezi_se_v_eduroam.png}} Uporabniško ime in geslo za Eduroam na IJS lahko pridobite v dveh korakih: 1. pošljete (interna pošta) ali prinesete (stavba J, 3. nadstropje) podpisana [[Pravila dopustne uporabe]] na Center za mrežno infrastrukturo 1. pošljete zahtevek po elektronski pošti na support@ijs.si - zahtevek naj vsebuje ime, priimek in enoto, kjer ste zaposleni, oz. ime kontaktne osebe na enoti Uporabniško ime in geslo, ki ju prejmete za Eduroam, lahko uporabljate tudi za storitev [[Varna oddaljena povezava]] (VPN). Če želite vključiti tudi to storitev, to lahko storite z istim zahtevkom. Uporabniško ime in geslo, ki ju prejmete za Eduroam, lahko uporabljate tudi v zvezi z [[Enotna prijava in eduGAIN|sistemom enotne prijave v federaciji Arnes]] ([[https://aai.arnes.si/|Arnes AAI]]), ki je vključena tudi v mednarodno omrežje [[https://www.edugain.org/|eduGAIN]]. Za prijavo na različne storitve ponudnikov, ki so vključeni v omrežje, lahko uporabite uporabniško ime tako, da z prijavo izberite '''Institut "Jožef Stefan"''' ali '''Jožef Stefan Institute''' med ponudniki overjanja (IdP). == Navodila za povezavo uporabnikov v brezžično omrežje Eduroam == * [[https://www.arnes.si/pomoc-uporabnikom/eduroam/navodila-za-povezavo.html|navodila za povezavo]] * [[https://cat.eduroam.org/?idp=957|pomočniki za nastavitev Eduroam CAT]] * [[attachment:ijs_eduroam-2022-s.mobileconfig|Prednastavljen uporabniški profil|&do=get]], primeren za vse Apple iOS naprave (iPod, iPad, iPhone) ter Apple OS X 10.7 (Lion) in novejše operacijske sisteme. Na kratko: * vmesnik WLAN (denimo kartica PCMCIA ali PCI) mora podpirati varnostni standard [[WikiPedia:IEEE_802.11i|WPA ali WPA2]] (samo podpora za WEP ne zadošča); * nameščen mora biti prosilec (supplicant) 802.1X, ki podpira EAP-TTLS/PAP, na primer !SecureW2 ali wpa_supplicant; - sodobnejše različice operacijskih sistemov imajo že vgrajeno ustrezno podporo; * prosilec (supplicant) mora biti ustrezno nastavljen, kar lahko naredimo ročno ali z uporabo Arnesovega prednastavljenega programa !SecureW2 (za Windows) ali samodejno nastavitvijo preko sistema [[https://cat.eduroam.org/?idp=957|Eduroam CAT]] (za podprte operacijske sisteme); * izberemo omrežje (SSID) ''eduroam'' in se vanj vključimo. * če ne uporabljamo posebnega odjemalca za Eduroam in je vključeno varnostno preverjanje strežnika, moramo namestiti korensko potrdilo [[attachment:arnes_eduroam_ca_2022.pem|Arnes CA za Eduroam v obliki PEM|&do=get]] (priporočjivo za namizja GNU/Linux in BSD) ali [[attachment:arnes_eduroam_ca_2022.cer|Arnes CA za Eduroam v obliki DER|&do=get]] (priporočjivo za mobilne naprave) {{attachment:ijs-cat.png|QR piktogram s povezavo do pomočnikov za nastavitev}} QR piktogram s povezavo do pomočnikov za nastavitev Primer nastavitev v Network Managerju (OS Linux) ` {{attachment:ijs_eduroam_netmngr.png|Primer nastavitve v Network Managerju v OS Linux}} {{{#!wiki caution '''V primeru težav''' Prosimo vas, da nam v primeru težav zvezi z delovanjem brezžičnega omrežja IJS in težav s povezovanjem v omrežje Eduroam v drugih organizacijah čas in lokacijo težav sporočite na naslov <> ali pa se ob priložnosti s problematično napravo osebno oglasite v [[Centru za mrežno infrastrukturo|CMI]]. }}} '''Pozor:''' Septembra 2022 je potekel korenski certifikat federacije Eduroam (ARNES korenski certifikat za Eduroam iz leta 2012), sočasno z izdajo novega smo na IJS zamenjali tudi naš vrhnji certifikat. Če ste namestili korenski certifikat ročno ali pa ste namestili odjemalec pred 15. septembrom 2022, se lahko zgodi, da boste morali zamenjati korenski certifikat v odjemalcu. Prenesite novejši certifikat z zgornje povezave. Uporabniki strojne opreme podjetja Apple, si lahko postrežete z obnovljenim prednastavljenim profilom - našli ga boste nižje na strani. == Brezžično omrežje za goste == Nekatere vstopne točke, zlasti tiste v predavalnicah in posebno v času organiziranih prireditev, se javljajo tudi kot vstopne točke za brezžično omrežje (SSID) ''guest''. Za vklop je potrebno nastaviti varnostni standard WPA-PSK in vpisati geslo, ki je na voljo pri organizatorju prireditve ali na CMI. Omejitve prometa v to omrežje in iz njega so enake ali bolj omejujoče od spodaj navedenih za omrežje ''eduroam''. Uporabnikom z IJS in drugih ustanov članic Eduroam svetujemo vklop v omrežje ''eduroam'' in ne v ''guest''. == Žično omrežje za goste == V veliki predavalnici je poleg vstopa v brezžično omrežje možen tudi vklop v žično omrežje (Ethernet/100BaseTX) v vtičnicah v veliki predavalnici (pod tablo, v tleh na odru in v četrti vrsti). Tudi v tem primeru se nastavitve naslova IP, prehoda in strežnikov DNS pridobijo avtomatsko prek protokola DHCP. Naslovni prostor je 192.168.132.0/24 in se prek NAT preslika v javni IP naslov. == Vstopne točke na IJS (access points) == Trenutno so na IJS nameščene naslednje vstopne točke: * velika predavalnica - dve vstopni točki; * avla pred veliko predavalnico (prvo nadstropje in pritličje) * sprednje parkirišče (vstopna točka za/pod veliko predavalnico) * Kolarjeva predavalnica (K7/K9) * podstrešje glavne stavbe E8 in oranžna predavalnica * laboratorij odseka F9 * sejna soba odseka K5 * stavba B (biokemija) * stavba J (južni prizidek) v tretjem nadstropju (CMI) * reaktorski center Podgorica: sejna soba Dodatne vstopne točke so v pripravi, nekaj jih bo v kratkem, kasneje pa po dogovoru z odseki in po načrtu nabav. Vse vstopne točke delujejo po standardu 802.11b in 802.11g in ponujajo zaščito prometa WPA in WPA2 (802.11i). Nekatere (novejše) vstopne točke pokrivajo tudi 5 GHz področje (802.11a) in podpirajo standard 802.11n. Vse vstopne točke se javljajo s SSID ''eduroam''. == Naslovni prostor IP in nastavitve TCP/IP == Glede na uporabniško ime, s katerim se računalnik (prosilec - supplicant) prijavi v omrežje, poveže vstopna točka računalnik z enim od IP-omrežij, ne glede na vstopno točko na IJS: * domači uporabniki oblike: <> se umestijo v omrežje 212.235.214.0/24 ali v omrežje IPv6 2001:1470:ff80:4::/64 ; za promet v omrežje in iz njega veljajo nekatere omejitve, ki so strožje od tistih v žičnem omrežju; * gostujoči uporabniki iz drugih ustanov v sklopu Eduroam se umestijo v omrežje 212.235.215.0/24 ali v omrežje IPv6 2001:1470:ff80:5::/64 ; za ta naslovni prostor veljajo nekoliko bolj omejujoče nastavitve kot za domače uporabnike; dohodne zveze v to omrežje niso dovoljene; Nastavitve naslova IP, naslova prehoda in strežnikov DNS se pridobijo avtomatsko prek protokola DHCP. Naslov prehoda lahko nastavimo tudi ročno: 212.235.214.1 oziroma 212.235.215.1, strežniki DNS so na naslovu 193.2.4.247, 193.2.4.248 in na 2001:1470:ff80::53:248 . Najpomembnejše spletne strani za obiskovalce in nekatere storitve v omrežju so objavljene prek mehanizma [[https://www.dns-sd.org/|DNS Service Discovery (DNS-SD)]]. Vidne so tudi klientom, ki podpirajo [[https://www.zeroconf.org/|Zeroconf]]. == Zaščita omrežij (požarni zid) == Iz obeh brezžičnih naslovnih prostorov IP in iz žičnega omrežja za goste je možno vzpostavljati povezave v druga omrežja IJS in v zunanja omrežja vsaj za naslednje storitve: * spletni dostop prek protokolov HTTP, HTTPS in GOPHER (neposredno, ali pa prek IJS posrednika (proxy) www-proxy.ijs.si, tcp vrata 8080); * interaktivni dostop prek protokolov SSH v2 in telnet; * prenos datotek prek protokola FTP v pasivnem načinu ali prek SFTP (v sklopu SSH v2); * dostop do e-pošte prek protokolov POP3, IMAP, SMTP in njihovih SSL različic POP3S, IMAPS, SMTPS; * dostop do novic (network news) prek protokola NNTP; * dostop do imenikov DNS in LDAP; * MSN sporočanje na tcp vratih 1863; * IP telefonija in sporočanje Skype. Vstopne zveze iz drugih IJS- in javnih omrežij so možne le v omrežje z javnim naslovnim prostorom 212.235.214.0/24, tj. le za domače uporabnike v brezžičnem omrežju, ob upoštevanju dinamično dodeljenega naslova IP. Po dogovoru in začasno je možna tudi pridobitev statičnega naslova IP, na primer za predavanja in delavnice. Omrežje za goste zaradi NAT dopuščata le odhodne povezave. == Kazalci na programsko opremo == * [[https://hostap.epitest.fi/wpa_supplicant/|wpa_supplicant]] EAP 802.1X prosilec (supplicant) za Unix (npr. FreeBSD) in Linux sisteme. * [[https://cat.eduroam.org/?idp=957|pomočnik za nastavitev Eduroam CAT (eduroam.org)]] (pomočnik za nastavitev za podprte operacijske sisteme) == Povezave == * [[Pravila dopustne uporabe]] (Podpisana pošljite za vzpostavitev uprabniškega imena.) * [[https://www.eduroam.si/|Uporabniška navodila - Arnes]] * [[https://www.arnes.si/pomoc-uporabnikom/eduroam/navodila-za-povezavo.html|Navodila za povezavo (Arnes)]] * [[https://cat.eduroam.org/?idp=957|Eduroam CAT (eduroam.org)]] (za podprte operacijske sisteme) * [[attachment:arnes_eduroam_ca_2022.pem|Arnes CA za Eduroam v obliki PEM|&do=get]] (priporočjivo za namizja GNU/Linux in BSD) * [[attachment:arnes_eduroam_ca_2022.cer|Arnes CA za Eduroam v obliki DER|&do=get]] (priporočjivo za mobilne naprave) * [[attachment:ijs_eduroam-2022-s.mobileconfig|Prednastavljen uporabniški profil|&do=get]], primeren za Apple naprave. * [[https://www.arnes.si/eduroam/organizacije.html|Navodila za postavitev Eduroam za organizacije]] (Arnes) * [[https://www.eduroam.org/|Eduroam v svetu]] * [[Postavitev WLAN vstopne točke za Eduroam pod FreeBSD]]