Eduroam (WLAN): Unterschied zwischen den Versionen
(Das RZ hat auf ein selbst-signiertes cert gewechselt und die Anleitungen hatten das certificate leider für die falsche Phase konfiguriert was bisher nicht auffiel weil man das TeleSec Class2 dann sowieso installiert hatte) |
Keine Bearbeitungszusammenfassung |
||
(Eine dazwischenliegende Version von einem anderen Benutzer wird nicht angezeigt) | |||
Zeile 24: | Zeile 24: | ||
;Authentifizierung: Tunneled TLS (TTLS) | ;Authentifizierung: Tunneled TLS (TTLS) | ||
;Innere Authentifizierung: PAP | ;Innere Authentifizierung: PAP | ||
;Anonyme Identität: | ;Anonyme Identität: anonymous@uni-hamburg.de | ||
;Benutzername: <Stine-[[Kennung]]>@uni-hamburg.de (also z.B. 'BAX1234@uni-hamburg.de') | ;Benutzername: <Stine-[[Kennung]]>@uni-hamburg.de (also z.B. 'BAX1234@uni-hamburg.de') | ||
;Passwort: Dein Stine-Kennwort (Achtung: nicht das Kennwort der Informatik-Kennung!) | ;Passwort: Dein Stine-Kennwort (Achtung: nicht das Kennwort der Informatik-Kennung!) | ||
Zeile 46: | Zeile 46: | ||
'proto=WPA RSN' | 'proto=WPA RSN' | ||
'identity="bax1234@uni-hamburg.de"' | 'identity="bax1234@uni-hamburg.de"' | ||
'anonymous_identity=" | 'anonymous_identity="anonymous@uni-hamburg.de"' | ||
'password="arnorofl"' | 'password="arnorofl"' | ||
'ca_cert2="/pfad/zum/zertifikat.crt"' | 'ca_cert2="/pfad/zum/zertifikat.crt"' | ||
Zeile 63: | Zeile 63: | ||
proto=WPA RSN | proto=WPA RSN | ||
phase2="auth=PAP" | phase2="auth=PAP" | ||
anonymous_identity=" | anonymous_identity="anonymous@uni-hamburg.de" | ||
identity="bax1234@uni-hamburg.de" | identity="bax1234@uni-hamburg.de" | ||
password="foobar" | password="foobar" | ||
Zeile 93: | Zeile 93: | ||
[Security] | [Security] | ||
EAP-Method=TTLS | EAP-Method=TTLS | ||
EAP-Identity= | EAP-Identity=anonymous@uni-hamburg.de | ||
EAP-TTLS-CACert=''/ | EAP-TTLS-CACert=''/pfad/zum/zertifikat.pem'' | ||
EAP-TTLS-Phase2-Method=Tunneled-PAP | EAP-TTLS-Phase2-Method=Tunneled-PAP | ||
EAP-TTLS-Phase2-Identity='''$BAV_KENNUNG$'''@uni-hamburg.de | EAP-TTLS-Phase2-Identity='''$BAV_KENNUNG$'''@uni-hamburg.de | ||
Zeile 142: | Zeile 142: | ||
* Domain: uni-hamburg.de | * Domain: uni-hamburg.de | ||
* Identität: <STiNE-Kennung>@uni-hamburg.de (z.B. bbd1234@uni-hamburg.de) | * Identität: <STiNE-Kennung>@uni-hamburg.de (z.B. bbd1234@uni-hamburg.de) | ||
* Anonyme Identität: | * Anonyme Identität: anonymous@uni-hamburg.de | ||
* Passwort: STiNE-Passwort | * Passwort: STiNE-Passwort | ||
* Minimal TLS version: 1.1 | |||
Eine veraltete Anleitung für Android findet man hier: [https://www.rrz.uni-hamburg.de/services/netz/wlan/wlan-android.html] | Eine veraltete Anleitung für Android findet man hier: [https://www.rrz.uni-hamburg.de/services/netz/wlan/wlan-android.html] |
Aktuelle Version vom 28. Februar 2024, 19:04 Uhr
Allgemeines[Bearbeiten]
Möglichkeiten zur Verbindung ins Internet[Bearbeiten]
- Eduroam (empfohlen)
- VPN über Ethernet-Dose
- VPN über ESSID UHH (offen)
- Mitarbeiternetz-Steckdose, DHCP
Über Eduroam[Bearbeiten]
Das Eduroam (education roaming) ist ein weltweit angebotenes Netz, das an besonderen Standpunkten Internetzugang ermöglicht. Viele Universitäten ermöglichen somit Studenten aus allen anderen teilnehmenden Universitäten unkomplizierten Zugang.
Durch die Verwendung von Eduroam bei uns am Informatikum wird das VPN entlastet, sodass alles seit einiger Zeit gefühlt besser läuft. Falls das eduroam bei euch nicht funktioniert oder ihr keinen RRZ-Account habt, könnt ihr euch über die ESSID UHH (offen) und per VPN ins Internet einwählen.
Konfiguration[Bearbeiten]
Hier sind die offiziellen Anleitungen des Rechenzentrums zu finden: [1]
Mit diesen Daten könnt ihr euer Windows, Mac OS oder Linux System konfigurieren.
- Sicherheit
- WPA/WPA2 Enterprise
- Authentifizierung
- Tunneled TLS (TTLS)
- Innere Authentifizierung
- PAP
- Anonyme Identität
- anonymous@uni-hamburg.de
- Benutzername
- <Stine-Kennung>@uni-hamburg.de (also z.B. 'BAX1234@uni-hamburg.de')
- Passwort
- Dein Stine-Kennwort (Achtung: nicht das Kennwort der Informatik-Kennung!)
- CA-Zertifikat in der inneren(!) Authentifizierung
- Universitaet Hamburg Internal CA, [2]
Konfigurationsdatei für netctl[Bearbeiten]
Hier eine fertige Konfiguration für netctl (z.B. Arch Linux)
Description='eduroam' Interface='wlp4s0' Connection='wireless' IP='dhcp' ESSID='eduroam' Security='wpa-configsection' WPAConfigSection=( 'ssid="eduroam"' 'key_mgmt=WPA-EAP' 'eap=TTLS' 'proto=WPA RSN' 'identity="bax1234@uni-hamburg.de"' 'anonymous_identity="anonymous@uni-hamburg.de"' 'password="arnorofl"' 'ca_cert2="/pfad/zum/zertifikat.crt"' 'phase2="auth=PAP"' )
Konfigurationsdatei für WPA-Supplicant[Bearbeiten]
Für wpa_supplicant Nutzer*innen und Fans hier die wpa_supplicant.conf:
network={ ssid="eduroam" key_mgmt=WPA-EAP eap=TTLS proto=WPA RSN phase2="auth=PAP" anonymous_identity="anonymous@uni-hamburg.de" identity="bax1234@uni-hamburg.de" password="foobar" ca_cert2="/pfad/zum/zertifikat.crt" }
Befehl für NetworkManager[Bearbeiten]
Um sich per nmcli zu verbinden:
nmcli connection add \ type wifi \ con-name eduroam \ 802-11-wireless.ssid eduroam \ 802-11-wireless-security.key-mgmt wpa-eap \ 802-1x.anonymous-identity anonymous@uni-hamburg.de \ 802-1x.identity "bax1234@uni-hamburg.de" \ 802-1x.ca-cert /pfad/zum/zertifikat.crt \ 802-1x.eap ttls \ 802-1x.password "foobar" \ 802-1x.phase2-auth pap
IWD[Bearbeiten]
Ersetze einfach $PASSWORD$ und $BAV_KENNUNG$ und wenn nötig den Pfad zum Zertifikat.
Speichere die Datei dann als /var/lib/iwd/eduroam.8021x:
[Security] EAP-Method=TTLS EAP-Identity=anonymous@uni-hamburg.de EAP-TTLS-CACert=/pfad/zum/zertifikat.pem EAP-TTLS-Phase2-Method=Tunneled-PAP EAP-TTLS-Phase2-Identity=$BAV_KENNUNG$@uni-hamburg.de EAP-TTLS-Phase2-Password=$PASSWORD$ [Settings] AutoConnect=true
Template für Wicd-Client[Bearbeiten]
Nutzer des Netzwerkmanagers Wicd nutzen wahrscheinlich die Anwendung Wicd-Client um neue Netzwerkverbindungen einzurichten. Um dies zu erleichtern werden Netzwerkprofile für verschiedenste Authentifizierungsverfahren angeboten. Falls die von Eduroam verwendete Konfiguration in ihrer Linux Distribution nicht als Profil verfügbar ist, kann das folgende Template manuell eingerichtet werden.
name = eduroam-mafiasi-wiki author = Mirko Hartung version = 1 require identity *Identity ca_cert *Path_to_CA_Cert anonymous_identity *Anonymous_Identity password *Password protected password *Password ----- ctrl_interface=/var/run/wpa_supplicant network={ ssid="$_ESSID" key_mgmt=WPA-EAP proto=WPA RSN eap=TTLS phase2="auth=PAP" anonymous_identity="$_ANONYMOUS_IDENTITY" identity="$_IDENTITY" password="$_PASSWORD" ca_cert2="$_CA_CERT" }
Speichern sie die Zeilen als Datei unter /etc/wicd/encryption/templates/eduroam-mafiasi-wiki. Es werden root Berechtigungen benötigt. Um das Profil zu aktivieren muss in der Datei /etc/wicd/encryption/templates/active eine Zeile mit dem Namen des gerade erstellen Profils angefügt werden.
root@debian:/etc/wicd/encryption/templates# echo "eduroam-mafiasi-wiki" >> active
Konfigurations-Skript: Linux[Bearbeiten]
Alternativ kann man auch das Configuration Assistant Tool (python script) benutzen: [3]
Wichtig: Nicht vergessen am Ende des Benutzernamens @uni-hamburg.de
anzuhängen.
Android[Bearbeiten]
- EAP-Methode: TTLS
- Phase-2-Authentifizierung: PAP
- CA-Zertifikat: Systemzertifikate verwenden
- Domain: uni-hamburg.de
- Identität: <STiNE-Kennung>@uni-hamburg.de (z.B. bbd1234@uni-hamburg.de)
- Anonyme Identität: anonymous@uni-hamburg.de
- Passwort: STiNE-Passwort
- Minimal TLS version: 1.1
Eine veraltete Anleitung für Android findet man hier: [4]
iOS[Bearbeiten]
Unter [5] findet man eine Anleitung, sowie ein Konfigurations-Skript, das man nur herunterladen und ausführen muss, um auch auf seinem Apfeltelefon Eduroam nutzen zu können.
OS X[Bearbeiten]
Eine Anleitung für OS X findet man hier: [6]
Windows[Bearbeiten]
Anleitungen und Konfigurations-Skripte für Windows findet man auf der Seite des RRZ: