IEEE 802.1x im eduroam-Projekt
Was ist IEEE 802.1x?
IEEE 802.1x ist ein Standard zur Authentifizierung in Rechnernetzen.
mehr bei Wikipedia...
Was brauche ich, um 802.1x mit eduroam zu nutzen?
Eines der Hauptanliegen des eduroam-Projektes ist es, einen einheitlichen Netzwerkzugang zu schaffen. D.h.,
ein Teilnehmer braucht beim Wechsel von einer Einrichtung an eine andere beteiligte Einrichtung keine Umkonfigurationen
seiner Zugangssoftware vorzunehmen.
- Zugang zum Netzwerk (WLAN, eventuell auch LAN)
- 802.1x-Supplikant - Software passend zum Betriebssystem, muss das Verfahren EAP-TTLS unterstützen
- Nutzerkennzeichen/Passwort der Heimateinrichtung
Beispielkonfigurationen
Das Universitätsrechenzentrum ist nicht in der Lage, Supplikanten und deren Konfiguration für alle denkbaren Plattformen
zu testen und zu dokumentieren. Den Beginn dieses Abschnittes bildet daher eine allgemeine Beschreibung der
notwendigen Parameter. Konkrete Beispiele existieren für die Supplikanten wpa_supplicant und SecureW2 (Windows XP).
Wir bitten die Nutzer anderer Plattformen, uns ihre Erfahrungen in Form einer kurzen Konfigurationsbeschreibung
zur Veröffentlichung an dieser Stelle bereitzustellen. Ergänzungen und Korrekturen zu den aufgeführten Daten sind willkommen.
Der Erstkontakt mit dem Netzwerk der Gasteinrichtung erfolgt mit einem anonymen Nutzernamen ergänzt um die Bezeichnung der
Heimateinrichtung. Die Supplikanten-Software stellt dann über den Authentifizierungsserver der Gasteinrichtung eine verschlüsselte Verbindung zum
Authentifizierungsserver der Heimateinrichtung her. Über diese werden Nutzerkennzeichen und Passwort übertragen. Der Authentifizierungsserver
der Heimateinrichtung teilt dann dem Authentifizierungsserver der Gasteinrichtung mit, ob der Zugang erfolgen darf. Anmeldedaten werden somit
nur dem Supplikanten und dem Authentifizierungsserver der Heimateinrichtung bekannt. Um die Authentizität der Server zu gewährleisten, werden
Zertifikate geprüft.
Damit wird zur Konfiguration eines 802.1x-Supplikanten benötigt:
wpa_supplicant für Linux
Eine Konfiguration, die ein heimisches Netz mit WPA-PSK (pre shared key) und eduroam unterstützt,
kann z.B. so aussehen:
ctrl_interface=/var/run/wpa_supplicant
ap_scan=1
network={
ssid="HomeNetz"
key_mgmt=WPA-PSK
psk=90eb5a22fa85a38d7018bf5db2bf978496bfb34d9f1bb48d3b27296c1db1aab6
}
network={
ssid="eduroam"
key_mgmt=WPA-EAP
eap=TTLS
identity="otto@tu-chemnitz.de"
anonymous_identity="anonymous@tu-chemnitz.de"
password="schrecklich_geheim"
ca_cert="<pfad>/rootcert.crt"
phase2="auth=PAP"
priority=2
}
NetworkManager für Linux
Der NetworkManager ist ein Service, der von modernen Linux-Distributionen zur Verwaltung der Netzwerkzugänge verwendet wird.
Der NetworkManager verwendet den wpa_supplicant, stellt aber zur Konfiguration eine grafische Oberfläche bereit.
SecureW2 für Windows XP
Dieser Supplikant ist nicht mehr (vom Hersteller) verfügbar. Eine ältere Version wird von der Universität Jena vorgehalten (siehe Link weiter unten).
Nach der Installation kann der Supplikant bei den Einstellungen
der bevorzugten Netzwerke im Punkt "eduroam" als EAP-Typ bei der IEEE802.1X-Authentifizierung angegeben werden.
Bei der Konfiguration sind die genannten Daten anzugeben:
- Connection: Use alternate outer identity [x]; Specify outer identity: "anonymous@tu-chemnitz.de"
- Certificates: Verify server certificate [x]; -> "Deutsche Telekom Root CA"; Verify server name [x]; "radius.tu-chemnitz.de"
- Authentication: Select Authentication Method -> PAP
- User account: Prompt user for credentials [x]
- anschließend muß nach dem Verbindungsaufbau das Eingabefenster für die Nutzerauthentifizierung über einen Klick auf das WLAN-Symbol im Systemtray der Taskleiste aufgerufen und in dieses Fenster dann
- Username (eigene innere Identität, siehe oben) und
- Paßwort eingegeben werden.
oder
- User account: Prompt user for credentials [ ]
- Username: eigene innere Identität (siehe oben)
- Paßwort
Weitere Installationsanleitungen: