WiFi@PDCnr
versione 2.0
Guida utente
P.Bison, C.Cavaggion
ISIB-CNR
Rapporto Tecnico 1/13, ISIB-CNR
Padova, Maggio 2013
ISIB-CNR
Corso Stati Uniti 4
35100 Padova IT
SOMMARIO
WiFi@PDCnr è un servizio gestito dall'Area della Ricerca di Padova per fornire l'accesso alla rete
internet attraverso un collegamento wireless ed è offerto sia a dipendenti che a ospiti delle
istituzioni presenti nell'area della ricerca stessa. L'accesso è consentito solo ad utenti in
possesso di credenziali rilasciate dall'Area della Ricerca di Padova e dal CNR di Roma o ad utenti
appartenenti ad istituzioni afferenti alla federazione GARR IDEM o a quella EDUROAM.
In questo rapporto si descrivono le procedure per poter utilizzare questo servizio da parte di un
utente che desidera accedere alla rete wireless.
ABSTRACT
WiFi@PDCnr is a service managed by the CNR Research Area in Padua (ADRPD) to allow
personnel and guests of an institution belonging to the ADRPD to connect to the internet through
a wireless access. In order to connect to the network a user must have login credentials issued
by ADRPD or by the CNR headquarter in Rome or be an employee of an institution member of
the GARR IDEM federation or EDUROAM federation.
This report describes the procedures a user must follow to access internet through the
WiFi@PDCnr service.
2
Introduzione............................................................................................................. 4
Credenziali di accesso AdRPD....................................................................................5
Visualizzazione dati utente......................................................................................................................... 6
Visualizzazione credenziali di tipo guest.................................................................................................... 7
Modifica password di accesso.................................................................................................................... 8
Registrazione dispositivo wireless.............................................................................................................. 9
Reti adr_wifi e eduroam-adr....................................................................................10
Windows XP e service pack 2................................................................................................................... 10
Sistemi Mac OS X..................................................................................................................................... 19
Ubuntu 10.4............................................................................................................................................. 22
Rete adr_guest....................................................................................................... 25
Collegamento iniziale............................................................................................................................... 25
Autenticazione CNR.................................................................................................................................. 27
Autenticazione IDEM ............................................................................................................................... 31
3
Introduzione
Presso l'Area della Ricerca di Padova è attiva una rete wireless che nelle zone di copertura,
pubblica tre reti SSID:
• adr_wifi
• eduroam-adr
• adr_guest
La rete adr_wifi è riservata al personale permanente, afferente alle istituzioni che risiedono
presso l'area della ricerca, in possesso di credenziali di accesso rilasciate dall'area stessa. Tale
rete ha le medesime funzionalità della rete cablata e quindi non vi è alcuna limitazione all'uso
delle risorse di internet. Vi è il vincolo che l'indirizzo MAC della scheda di rete wireless del
computer con cui ci si collega alla rete adr_wifi deve essere registrato presso nel server di
autenticazione. Se questo non fosse l'accesso verrà negato.
La rete eduroam-adr permette l'accesso alla rete a utenti afferenti ad istituzioni che
appartengono alla federazione EDUROAM utilizzando le credenziali rilasciate dalla propria
istuzione di appartenenza.
La rete adr_guest è a disposizione sia del personale che di ospiti temporaneamente presenti
presso l'Area della Ricerca di Padova, offre un insieme limitato di protocolli di rete e il suo
accesso è permesso ad utenti in possesso di credenziali di accesso rilasciate dall'Area della
Ricerca di Padova e dal CNR di Roma o ad utenti appartenenti ad istituzioni afferenti alla
federazione GARR IDEM. Per la rete adr_guest è disponibile un account di tipo guest guest per
ogni dominio associato ad un laboratorio e le credenziali di accesso di tale account sono
disponibili a tutti gli utenti registrati sul quel dominio seguendo la procedura la procedura
descritta in seguito. La password di questi account di tipo guest vengono modificate
giornalmente.
Per una completa descrizione delle modalità e sui vincoli inerenti l'uso del servizio WiFi@PDCnr
si veda il sito http://wifi.pd.cnr.it/. Si raccomanda di leggere attentamante i Terms of Service che
si intedono implicitamente accettati nel momento in cui si accede alla rete utilizzando il servizio
WiFi@PDCnr.
4
Credenziali di accesso AdRPD
Per poter accedere alle reti wireless si devono avere delle credenziali di accesso nella forma di
una coppia username-password. Le credenziali fornite dall'Area della Ricerca di Padova hanno il
username nella forma id@dominio dove id è una stringa alfanumerica unica per ciascun utente e
dominio individua un istituto o un particolare insieme di utenti(ad esempio gli ospiti). Si tenga
presente che bisogna sempre digitare la login nella sua interezza e non solamente la parte id.
I sistemi di autenticazione accettano i seguenti alias come username:
• id.dominio
• [email protected]
Si tenga presente che il secondo alias DEVE essere usato quando si accede a reti EDUROAM.
Per quanto riguarda la gestione delle credenziali di accesso fornite dall'area della ricerca di
Padova, gli utenti possono solo visualizzare i dati relativi al proprio account e l'account guest
associato al proprio istituto di appartenenza e modificare la password di accesso al servizio. Per
modificare qualunque altro dato l'utente deve rivolgersi all'amministratore del proprio dominio.
Queste funzionalità sono gestite da un servizio web raggiungibile seguendo i link Local users
management e Users a partire dal sito https://wifi.pd.cnr.it.
Il servizio di gestione utenti consiste nella seguente pagina:
5
Visualizzazione dati utente
Per visualizzare i propri dati l'utente, dopo aver introdotto le proprie credenziali di accesso nei
campi Username e Password come mostrato nella figura seguente relativa ad un ipotetico utente
testone@adr:
invia la richiesta premendo il bottone “Show user data”.
A questo punto verrà visualizzata una pagina contenente i dati relativi all'utente:
6
dove vengono mostrati i seguenti dati:
1. la username
2. gli alias utilizzabili come username
3. il nome dell'utente o una descrizione dell'account
4. l'indirizzo di e-mail con cui si può contattare l'utente associato all'account
5. la data di scadenza dell'account; dopo tale data l'account potrà essere cancellato in
qualunque momento
6. l'elenco dei dispositivi mobili associati all'utente
Visualizzazione credenziali di tipo guest
Per visualizzare le credenziali di accesso di tipo guest associate all'istituto di appartenenza
inserire le proprie credenziali di accesso e premere il bottone “Show guest account”. Il sistema
visualizzerà una pagina contenente le credenziali (username e password) con cui è possibile
accedere ad internet attraverso la rete wireless adr_guest; la password ha validità giornaliera e
viene modificata alla mezzanotte di ogni giorno.
7
Modifica password di accesso
Per modificare la propria password l'utente, oltre ad introdurre la login e la password corrente,
deve digitare la nuova password nei campi “New password” e “New password (retype)” ed
attivare la procedura di modifca premendo il bottone “Set password”. Se la nuova password
soddisfa i requisiti descritti sotto la form, il sistema provvede a cambiare la password e fornisce
un pagina di conferma, simile a quella mostrata in figura, altrimenti segnala un errore e la
password non viene modificata.
8
Registrazione dispositivo wireless
Per abilitare un dispositivo mobile ad accedere alla rete adr_wifi si deve fornire l'indirizzo MAC
della scheda di rete wireless al proprio referente di istituto che provvederà a registralo.
L'indirizzo MAC della scheda di rete wireless si può ottenere mediante le procedure specifiche
per il sistema operativo utilizzato dal dispostivo mobile oppure, più facilmente, seguendo i
seguenti passi:
• collegare il dispositivo mobile alla rete adr_guest
• utilizzare un browser per connettersi ad un sito qualunque; il sistema di autenticazione
intercetterà la richiesta e visualizzerà una pagina simile alla seguente dove viene
mostrato l'indirzzo MAC utilizzato per connettersi alla rete:
9
Reti adr_wifi e eduroam-adr
La modalità di collegamento a queste due reti sono simili. Inoltre utenti con credenziali AdRPD
devono usarle nella forma per accedere alla rete eduroam-adr.
Caratteristiche tecniche per la configurazione dei nodi wireless:
Key_mgmt
Eap
Authentication
WPA-EAP
PEAP o TTLS
MSCHAPV2
Di seguito vengono riportate le procedure di configurazione per alcuni dei sistemi operativi più
diffusi. Le procedure descritte sono relative alla rete adr_wifi, che va letto come eduroam-adr nel
caso dell'altra rete.
Windows XP e service pack 2
Versioni successive dovrebbero supportare l'autenticazione WPA richiesta dalla rete adr_wifi. Il
Service Pack 1 senza l'update specifico sembra supportare solo WEP e non WPA.
Andare nel Pannello di controllo e scegliere "Connessioni di rete" oppure nella tray area (la parte
a destra della barra di Windows; quella con le icone piccole: a volte e' necessario cliccare sulla
freccia verso sinistra) cliccare sull'icona wifi col tasto destro e scegliere "Apri connessioni di
rete":
• nella finestra "Connessioni di rete" se la "Connessione rete senza fili" e' disabilitata
fare doppio click per abilitarla.
10
• almeno la prima volta o quando si e' troppo lontani la "Connessione rete senza fili"
potrebbe essere non connessa: fare doppio click per visualizzare le reti disponibili
(oppure: aperto il menu contestuale facendo click col tasto destro del mouse (o il tasto
menu o Shift-F10), scegliere "Visualizza reti senza fili disponibili")
• nella premere (nella colonna di sinistra) "Cambia impostazioni avanzate"
11
• nella finestra "Proprieta' - Connessione rete senza fili" passare alla scheda "Rete senza
fili"
12
• nella scheda "Rete senza fili" premere (nel raggruppamento "Reti preferite")
"Aggiungi..." se la rete non e' gia' definita, altrimenti selezionare la rete che si vuole
impostare e premere "Proprieta'"
• nella finestra "Proprieta' rete senza fili" rimanere nella scheda "Associazione" e
compilare come in figura:
13
•
•
•
•
Nome di rete (SSID): adr_wifi (tutto minuscolo)
Autenticazione di rete: WPA
Crittografia dati: TKIP
Ad hoc: no (quadrato vuoto)
ed infine passare alla scheda "Autenticazione" cliccando sul suo nome
• nella finestra "Proprieta' rete senza fili" rimanere nella scheda "Autenticazione" e
compilare come in figura:
14
• Tipo EAP: Protected EAP (PEAP) (tutto maiuscolo)
• Autentica come computer: no (quadrato vuoto)
• Autentica come guest: no (quadrato vuoto)
ed infine premere "Proprieta'"
• nella finestra "Proprieta' PEAP" compilare come in figura poi chiudere la finestra corrente
e richiamarla da "Proprieta' rete senza fili":
15
• Convalida certificato server: no (quadrato vuoto)
• Abilita riconnessione rapida: no (quadrato vuoto)
• Metodo di autenticazione: Password protetta (EAP-MSCHAP v2)
ed infine premere "Configura..."
• nella finestra "Proprieta' EAP-MSCHAPv2" compilare come in figura ovvero no
(quadrato vuoto); quindi premere "OK"
• dovrebbe apparire la finestra "Connessione rete senza fili":
16
fare attenzione al popup "Connessione alla rete senza fili" (angolo inferiore destro
dello schermo): cliccarci sopra prima che svanisca
• in caso di problemi (ad esempio se si e' perso il popup) ovvero quando nella finestra
"Connessioni di rete senza fili"
17
lo stato "Identita' convalidante" non passa a "Tentativo di autenticazione in corso",
"Acquisizione di indirizzo di rete" ed infine "Connesso" scegliete Disconnetti e premetete
"Si"; a questo punto riprovate con "Connetti" e seguite il punto precedente
• ottenuta la finestra "Immissione credenziali" compilarla con la login e password
18
Sistemi Mac OS X
•
Utilizzare l'icona relativa alla gestione del driver wireless AirPort per gestire la
connessione:
•
Abilitare la rete wireless attivando la voce “Turn AirPort On”:
•
Dopo una breve attesa appare la lista delle reti disponibili:
19
•
Selezionando la rete adr_wifi potrebbe apparire un avvertimento riguardante il certicato a
cui si deve rispondere con il “Continue”:
20
•
introdurre le proprie credenziali di accesso:
•
L'avvenuto collegamento viene indicato dall'icona sulla barra del menu:
•
Verificare che il computer si sia collegato alla rete corretta:
21
Ubuntu 10.4
•
Attivazione del menù a scomparsa con la lista delle reti wifi disponibili usando l'icona
presente nella barra dei menù:
•
Scelta della rete wifi a cui ci si vuole connettere:
22
•
Introduzione delle credenziali e dei metodi di protezione relativi alla rete a cui ci si
collega, in figura vengono riportati i dati relativi alla rete adr_wifi:
•
Ignorare eventuale richiesta di certificato della Certification Authority (CA)
23
•
A collegamneto effettuato appare sulla barra dei menù un icona indicante il collegamento
con il livello di segnale:
•
Attivando tale icona si visualizza la lista delle reti wifi con la possibilità di disconnessione
dalla rete a cui si è collegati:
24
Rete adr_guest
In questa sezione si descrive la procedura che un utente deve seguire per potersi collegare alla
rete internet attraverso la rete wireless adr_guest.
Collegamento iniziale
L'utente deve scegliere la rete wireless adr_guest, attivare un browser WWW e accedere ad un
sito qualsiasi per iniziare la procedura di autenticazione gestita via web.
Se il browser WWW ha la funzionalità javascript abilitata alcuni passi della procedura verranno
gestititi automaticamente dal bowser stesso attraverso una ridirezione, mentre se tale
funzionalità risulta disabilitata l'utente dovrà eseguirli manualmente quando richiesto.
Alla richiesta di un qualunque sito, in maniera automatica se javascript è abilitato o
manualmente attraverso la pagina seguente se disabilitato:
si viene indirizzati alla pagina di scelta del tipo di autenticazione che si desidera eseguire:
25
Questa pagina visualizza l'indirizzo IP assegnato al nodo e il suo indirizzo MAC e permette di
accedere alla descrizione del servizio (link WiFi@PdCNR service) e alle condizioni d'uso del
servizio stesso (link Terms of Service) che si intedono implicitamente accettate dall'utente
qualora l'utente esegua venga autenticato con successo.
Se l'utente ha credenziali fornite dall'Area della Ricerca di Padova oppure dal CNR di Roma
sceglie la prima possibilità, mentre se appartiene ad una istituzione afferente alla federazione
GARR IDEM la seconda.
26
Autenticazione CNR
Una volta scelta l'autenticazione CNR viene presentata la seguente pagina
Se l'utente è già in possesso di credenziali, username e password, fornite dall'Area della Ricerca
di Padova oppure dal CNR di Roma può digitarle nei due campi Username: e Password: e inviarle
con il pulsante Login.
Se javascript non è abilitato nel browser appare la pagaina seguente, dove ovviamente si deve
attivare il link click here per continuare con la procedura di autenticazione:
27
Se le credenziali risulteranno corrette il sistema visualizza la seguente pagina che indica
all'utente l'abilitazione all'accesso alla rete:
28
L'utente può ora continuare la navigazione web e/o utilizzare gli altri protocolli abilitati sulla rete
guests-adr
29
Se le credenziali risulteranno corrette il sistema abiliterà l'accesso alla rete e l'utente potrà
continuare la navigazione web e/o utilizzare gli altri protocolli abilitati:
Se il sistema dovesse continuare a rifiutare l'accesso anche in presenza di credenziali ritenute
corrette, rivolgersi al proprio referente d'istituto.
30
Autenticazione IDEM
Un ospite presente nell'Area del Ricerca di Padova che abbia un account presso una qualunque
istituzione afferente alla federazione GARR IDEM, può utilizzare questa modalità di
autenticazione per accedere alla rete internet.
Attraverso il pulsante “Continue with IDEM GARR authentication” l'utente viene indirizzato su un
server gestito dal GARR che gli presenta la seguente (o similare) pagina
dove deve scegliere il server relativo alla propria istituzione di appartenenza attraverso il menu
presente nella pagina stessa.
31
Una volta fatta questa scelta premendo il pulsante “select” il browser viene indirizzato sulla
pagina di autenticazione relativa alla propria istituzione (ad esempio l'Università di Ferrara come
mostrato nella figura seguente:):
A questo punto l'utente deve introdurre le credenziali di accesso relative all'account che ha
presso tale istituzione e, se sono corrette, ottiene l'autorizzazione all'accesso alla rete attraverso
il servizio WiFi@PDCnr.
Nel caso sia errate o inesistenti, riceve un messaggio di errore direttamente dal server di
autenticazione della propria istituzione di appartenenza. Se le credenziali continuano ad essere
rifiutate, l'utente deve contattare la propria istituzione e non l'Area della Ricerca di Padova dato
che i server di autenticazione relativi alla federazione IDEM non sono gestiti dall'area stessa.
32