• SSID: SiliconHill
• zabezpečení: WPA2-podnikové, AES
• ověřování: PEAP
• RADIUS server:
  • ldap.sh.cvut.cz
  • Vydavatel: GEANT OV RSA CA 4
  • Mezilehlá CA: USERTrust RSA Certification Authority
  • Root CA: AAA Certificate Services

Nejprve se zaregistrujte u svého registrátora - zadáte mu MAC adresu svého zařízení, které chcete připojit k wifi!

Přihlašovací údaje použité v návodech jsou stejné jako do Informačního systému.

1. Odstraníme starý profil sítě SiliconHill
   1. Klávesovou zkratkou Win+i se dostaneme do nastavení.
      
   2. Přejdeme do menu Síť a internet > WiFi, kde vybere Spravovat známé sítě.
      
   3. V seznamu vybereme SiliconHill a klineme na tlačítko Odebrat.
      
2. Vytvoříme nový profil WiFi sítě
   1. Klávesovou zkratkou Win+r otevřeme okno Spustit, zadáme control a potvrdíme enterem.
      
   2. V ovládacích panelech otevřeme Centrum síťových připojení a sdílení.
      
   3. Teď klikneme na Nastavit nové připojení nebo síť.
      
   4. V dialogovém okně vyplníme Název sítě: SiliconHill a vybereme Typ zabezpečení: WPA2-podnikové a pokračujeme stiskem Další.
      
3. Nastavíme parametry zabezpečení sítě.
   1. Klikneme na Změnit nastavení připojení.
      
   2. Přejdeme na záložku Zabezpečení a klikneme na tlačítko Nastavení.
      
   3. Zaškrtneme Připojit k těmto serverům a do políčka napíšeme ldap.sh.cvut.cz, ze seznamu s názvem Důvěryhodné kořenové certifikační autority vybereme AAA Certificate Services a USERTrust RSA Certification Authority. Vše potvrdíme tlačítkem OK.
      
   4. V předchozím dialogovém okně vybereme Upřesnit nastavení.
      
   5. V novém dialogovém okně zaškrtneme Zadejte režim ověřování, z rozbalovacího menu vybere Ověření uživatele a klikneme na Uložit přihlašovací údaje.
      
   6. Ve vyskakovacím okně vyplníme přihlašovací údaje shodné s ISem a potvrdíme tlačítkem OK.
      
   7. Potvrdíme všechna dialogová okna tlačítkem OK. Zbyde nám toto okno:
      
4. Připojíme se na WiFi síť, pokud se nedaří připojit, vrátíme se do kroku 3 a zkusíme zkontrolovat všechna nastavení a především heslo.

Nastavte Metoda EAP na PEAP, Ověření PHASE 2 na MSCHAPV2, vyplňte jméno (Identita) a heslo, které je stejné jako do ISu.

Jako doménu by mělo obvykle stačit uvést „sh.cvut.cz“, ale jsou zařízení, která potřebují zadat FQDN LDAP severu „ldap.sh.cvut.cz“.

Před připojením je ještě nutné vyplnit pole Certifikát CA, existují 3 možnosti:

• Použít certifikáty systému (od Android 8.0 by to mělo fungovat, pro jistotu je možné najít seznam nainstalovaných certifikátů podle tohoto návodu (sekce Práce s certifikáty CA (důvěryhodná pověření)), v seznamu musí být AAA Certificate Services nebo USERTrust RSA Certification Authority). Do pole doména vyplňte ldap.sh.cvut.cz.
• NEZABEZPEČENÁ VARIANTA - Neověřovat certifikát nebo (neurčeno), parafrázuji https://man.fit.cvut.cz/ict/eduroam/: „Pokud při ručním nastavení neuvedete jméno radius serveru nebo vypnete ověřování jeho certifikátu, může vám vaše přihlašovací údaje někdo zkopírovat a vydávat se za vás! Pokud vám váš operační systém neumožnuje tyto parametry nastavit, není možné se z něj bezpečně k SiliconHill WiFi připojovat.“

Pro parametry sítě vizte základní info. USERTrust RSA Certification Authority (kořenový certifikát) RADIUS serveru najdete na [pki.cesnet.cz](https://pki.cesnet.cz/cs/ch-tcs-ssl-ca-4-crt-crl.html).

Android 10 a Windows 10 mají často továrně zapnutou randomizaci MAC adres. Bohužel naše WiFi síť potřebuje, aby se MAC adresa zařízení neměnila a je tak nutné tuto funkci zakázat.

Pro zjištění MAC zařízení je potřeba ho připojit k nějaké síti (např. SH_registrace) a následně v nastavení dané sítě vybrat „Použít MAC zařízení“. Následně zobrazovaná MAC je již ta, co je potřeba zaregistrovat v ISu. Nyní lze již zařízení připojit k síti SiliconHill. Je však potřeba randomizaci MAC vypnout i pro tuto síť.

Pokud se na iPhone / iPadu / jiném iZařízení objeví problém s připojením k síti SiliconHill, je třeba vypnout „Soukromou adresu“ / „Private address“, viz screenshot níže.

Pokud se k síti nelze připojit již zezačátku, je třeba provést manuální setup sítě podle základních informací + vypnout „soukromou adresu“, jako v již uložené síti.

Kroky k vypnutí ranodmizace:

1. První 3 kroky jsou stejné jako pro odebrání profilu WiFi sítě viz navod_na_pripojeni
2. V rozbalovacím menu Používat náhodné hardwarové adresy pro tuto síť vybereme Vypnuto