LOADING

載入過慢請啟用快取 瀏覽器預設啟用

我與 eduroam 的愛恨情仇:第壹篇 - 連線教學

2024/6/1 eduroam eduroam

前言

eduroam 這東西能講得真的太多了,原本是個很簡單的東西,可以輕易的讓學生/教師在其他教育機構連上網路,但如今看來,真的困難重重,已經背離他當初 “roam” 的本質了。

這個系列的文章,首先我會教你如何取得帳號,連上他,之後再來寫我近乎面對著一個黑箱,怎麼利用各種測試,取得我要的資料,最後再提出這套系統的風險。

運作原理

首先,先來做兩個名詞的解釋:

  1. 身分識別資訊提供者 (IdP, Identity Provider)
  2. 服務提供者 (SP, Service Provider)
    一個完整的漫遊系統,需要有 IdP 和 SP,IdP 的作用在於告訴 SP 你是誰,而 eduroam 有成千上萬的 IdP 和 SP,所以我們需要一個單位,負責轉發 SP 的驗證要求到對的 IdP,這個單位在台灣叫做漫遊中心,由教育部管轄,機房好像設在東華大學。

    總之,你連上網路的時候,你所在地的 WiFi AP (SP) 把你的帳號密碼轉送給漫遊中心,漫遊中心再依據你帳號後面的 Domain,把你的驗證要求轉給你的學校/單位 (IdP) 做驗證,驗證完後,再原路把驗證是否通過的訊息回傳給你所在地的 WiFi AP (SP),AP 再決定要不要讓你連網路,如附圖。

    route_basic

    如果這張還是看不懂,那以 IdP 為教育雲(@mail.edu.tw),在台灣師範大學連線的過程為例:

    route_ex

    了解這些後,其實在台灣,有兩套跨校漫遊的系統:TANetRoaming 和 eduroam,上文用 eduroam 為例,但兩者驗證路徑其實一樣,其中的差別只有 TANetRoaming 是用網頁驗證(PAP),eduroam 是用 EAP 驗證,有些單位的 IdP 只支援 TANetRoaming,而不支援 eduroam,這點需要特別注意,可洽詢您單位的資訊組。

帳號申請

在台灣,主要的帳號來源有以下三個:

  1. 你就讀、工作的單位
  2. 教育雲
  3. 國資圖借閱帳號

這邊優先建議使用你的單位分配的帳號,因為有些 SP 會過濾教育雲和國資圖的帳號。

這部分要申請可以直接 Google 搜尋 <單位名稱> eduroam 連線,通常可以找到學校官方 (IdP) 的說明,或者直接問你們資訊組。

但如果你是國中/高中職生,學校沒有提供帳號,那可以申請以下幾個單位的帳號:

備註:

教育雲支援 TANetRoaming/eduroam

國資圖支援 TANetRoaming

教育雲

📋教育雲申請方法 (點我)

學生、教職員可使用

(注意!!請勿使用縣市帳號認證)

一、申請教育雲帳號

二、啟用 eduroam 存取權

進入 https://www.sso.edu.tw/userinfo ,登入你的帳號

你應該會看到下圖的畫面,在這個畫面,請注意兩點:

  1. 下方有沒有出現eduroam
  2. 你的學校單位是否正確

如果沒有出現eduroam且學校資料不正確,請參閱附件內容提出資料修改。

接著請看到下面的按鈕:

  • 如果你是看到「啟用EDUROAM」
    1. 點選「啟用EDUROAM」
    2. 點入「修改備用電子郵件信箱/行動電話」
    3. 點選儲存,之後進行下個步驟。
  • 如果你是看到「EDUROAM已啟用」
    • 請直接進行下個步驟。

注意:請紀錄你的教育雲端帳號(如下圖紅框處)和你的登入密碼。

mailedu_active

三、登入資訊

帳號:<你的 ID>@mail.edu.tw

密碼:<教育雲密碼>

四、資料錯誤修正參考

  • 已登入,但學校別並非你的學校
    • 請依據以下圖片填入資料,之後送出。 (PS:建議電子郵件填學校的)。

      accfix
    • 等到回信後,(注意寄件者應為 oidcservice@mail.edu.tw),依信件指示辦理,如果完成應該會寄出「已更新您現在任職單位」的信件,即可繼續下一步驟。
    • 問題描述參考:
      我是學生,
我所就讀的學校是音擊市奏坂學園。
職稱為學生,班級為114,
但是帶出的資料是春日市國立母雞卡高中。
職稱是學生,班級是514,請協助我釐清資料情況,謝謝。

國資圖

📋國資圖申請方法 (點我)

一、申請國資圖數位借閱證

二、登入資訊

帳號:<身分證>@nlpi.edu.tw

密碼:<一證通整合密碼>


APNIC Academy

📋APNIC Academy 申請方法 (點我)

一、申請 APNIC 帳號

相信各位不會有 APNIC 的帳號,所以先來教一下怎麼申請

  1. 首先,先進入註冊網址 https://login.apnic.net/signin/register
  2. 依據右邊的欄位,填入你的資訊註冊 (可參考下圖範例)
    reg_info
  3. 設定密碼,須符合規則 (非登入 eduroam 用)
    set_passwd
  4. 會要求驗證,請去你的信箱收信
    verify_mail
  5. 到你的信箱點確認
    activate_acc
    註:如果需要 2fa,可以登出重新登入,可能就可以跳過ㄌ
    或者你也可以使用 TOTP 驗證器應用程式,設定兩步驟認證,即可通過
    need_otp
    no_otp

二、登入 APNIC Academy

  1. 首先,請到 APNIC Academy 連結,按下右上方 Login
    https://academy.apnic.net/en/online-courses
    academy_course
  2. 用你剛剛註冊的帳號登入,登入後,應該會跳回上方的網頁,請務必確認是 Online Courses 的頁面。
  3. 接著,請你選擇一門課程,並且把它全解,個人建議可以選 Cybersecurity Fundamentals,應該相對簡單。選課程的方式就是點開你要的課程,然後點 Take this Course,然後讓每個 Module 全綠就好。

選課流程 (x)

點開你要的課程,點 Take this Course
course_1
然後你會看到一堆 Module,先點開第一個
course_2
然後你可以看完上面影片,學習知識,或者如果你是資安大電神,可以直接跳過影片點下面的問題
course_3
點開題目,就會出現題目 (廢話),共有五題,你只能錯一題,不然就要重答,直到你通過為止
course_4
答到最後一題,可以點 Finish Quiz 送出
course_5
送出後會長這樣,等他一下
course_6
這是通過的畫面,可以點 Continue 繼續
course_7
這是沒通過的畫面,可以點 Restart Quiz 重考
course_8
等到你全綠了,就可以下一步了
course_9

  1. 連到設定 eduroam 帳號的位置,https://academy.apnic.net/zh-hant/eduroam
    正常應該要長這樣,直接點 “Create Eduroam Account” 就好
    create_eduroam

    註:如果你看到這個畫面,請確認是否完成課程,如果確定完成,請登出再登入一次
    create_eduroam_fail
    確認課程,請到 https://academy.apnic.net/en/profile
    check_course
    要確定上面的 Course progress,而且有 Registered Courses,點進去應該會看到你的證書。

  2. 輸入帳號密碼 (eduroam 連線設定要用),然後點”Create Account”
    set_eduroam_passwd

三、登入資訊

info_eduroam_account

帳號:<你的電子郵件,但 @ 改成 #>@apnic.net

匿名身分:eduroam@apnic.net

密碼:<一證通整合密碼>
註:有些無線控制器無法妥善處理帳號有 # 的狀況,所以建議填寫匿名身分規避這個問題。


連線教學

剛才有提到,在台灣,有兩套跨校漫遊的系統:TANetRoaming 和 eduroam。其中 TANetRoaming 是用網頁驗證(PAP),eduroam 是用 EAP 驗證。

但由於安全性問題,現在 TANetRoaming 逐步停用中,改由更安全的 eduroam 取代 (雖然 eduroam 目前在台灣也有安全問題,但那留到技術討論再說,現在先當他是安全的)

所以如果可以連上 eduroam ,建議優先使用 eduroam,但如果你的帳號不支援 eduroam,或無法連上 eduroam 而必須使用 TANetRoaming 請注意以下幾點,以免你的密碼遭到竊取。

  1. 請確認你收到 TANetRoaming 的位置是在教育機構內
  2. 請確認登入頁面是否為該校(SP)的網站
  3. IdP 密碼不要和其他的服務重複

eduroam

如果你的 SP 沒有魔改 eduroam,例如鳳山高中、鳳新高中、台大、台師大、成大等,那請你先感謝他們單位的網管,之後放心使用以下設定檔。

但如果你的 SP 魔改了 eduroam,例如義守大學、高雄資教、逢甲大學,請先嘗試使用 TANetRoaming,但如果該單位停用了 TANetRoaming,請見我的下一篇文章。

怎麼知道有沒有被魔改?如果使用以下設定檔無法連線,大概率有被魔改,詳情請見下一篇文章。

📋教育雲 (點我)

教育雲連線設定 (eduroam)

  • 支援的驗證協定:
    • PEAP-MSCHAPv2
    • TTLS-PAP
  • 網域名稱
    • wifi.sso.edu.tw
  • 身分
    • <你的 ID>@mail.edu.tw
  • 匿名身分
    • <你的 ID>@mail.edu.tw
  • 密碼
    • <教育雲密碼>
📋其他單位 (點我)

請直接 Google 搜尋 <單位名稱> eduroam 連線

TANetRoaming

📋教育雲 (點我)

教育雲連線設定 (TANetRoaming)

  • 帳號:<你的 ID>@mail.edu.tw
  • 密碼:<教育雲密碼>
📋國資圖 (點我)

國資圖連線設定 (TANetRoaming)

  • 帳號:<身分證>@nlpi.edu.tw
  • 密碼:<一證通整合密碼>
📋其他單位 (點我)

請直接 Google 搜尋 <單位名稱> eduroam 連線

給網管、資訊教育中心的話

封鎖學生使用 eduroam 並不會讓學生不使用手機,要打遊戲的嫌學網延遲高,要載東西的嫌學網限流慢,真正會用的永遠只有沒有行動網路的人。
2025 年了,網路需求不會消失,你們封鎖了 mail.edu.tw 不代表就沒有其他合法帳號可以使用。就算把所有合法帳號都封鎖,最後只會轉移到你手上一份份因為老師帳號外洩被資安事件通報的報告,請各位網管使用管理代替封鎖,謝謝。