• 
• 

IEEE 802.1x im eduroam-Projekt

Was ist IEEE 802.1x?

IEEE 802.1x ist ein Standard zur Authentifizierung in Rechnernetzen.
mehr bei Wikipedia...

Was brauche ich, um 802.1x mit eduroam zu nutzen?

Eines der Hauptanliegen des eduroam-Projektes ist es, einen einheitlichen Netzwerkzugang zu schaffen. D.h., ein Teilnehmer braucht beim Wechsel von einer Einrichtung an eine andere beteiligte Einrichtung keine Umkonfigurationen seiner Zugangssoftware vorzunehmen.

• Zugang zum Netzwerk (WLAN, eventuell auch LAN)
• 802.1x-Supplikant - Software passend zum Betriebssystem, muss das Verfahren EAP-TTLS unterstützen
• Nutzerkennzeichen/Passwort der Heimateinrichtung

Beispielkonfigurationen

Das Universitätsrechenzentrum ist nicht in der Lage, Supplikanten und deren Konfiguration für alle denkbaren Plattformen zu testen und zu dokumentieren. Den Beginn dieses Abschnittes bildet daher eine allgemeine Beschreibung der notwendigen Parameter. Konkrete Beispiele existieren für die Supplikanten wpa_supplicant und SecureW2 (Windows XP).

Wir bitten die Nutzer anderer Plattformen, uns ihre Erfahrungen in Form einer kurzen Konfigurationsbeschreibung zur Veröffentlichung an dieser Stelle bereitzustellen. Ergänzungen und Korrekturen zu den aufgeführten Daten sind willkommen.

Der Erstkontakt mit dem Netzwerk der Gasteinrichtung erfolgt mit einem anonymen Nutzernamen ergänzt um die Bezeichnung der Heimateinrichtung. Die Supplikanten-Software stellt dann über den Authentifizierungsserver der Gasteinrichtung eine verschlüsselte Verbindung zum Authentifizierungsserver der Heimateinrichtung her. Über diese werden Nutzerkennzeichen und Passwort übertragen. Der Authentifizierungsserver der Heimateinrichtung teilt dann dem Authentifizierungsserver der Gasteinrichtung mit, ob der Zugang erfolgen darf. Anmeldedaten werden somit nur dem Supplikanten und dem Authentifizierungsserver der Heimateinrichtung bekannt. Um die Authentizität der Server zu gewährleisten, werden Zertifikate geprüft.

Damit wird zur Konfiguration eines 802.1x-Supplikanten benötigt:

• die anonyme (äußere) Identität: anonymous@heimateinrichtung.de (z.B. anonymous@tu-chemnitz.de)
• die eigene (innere) Identität: uid@heimateinrichtung.de (z.B. uid@tu-chemnitz.de)
• das Passwort
• der Name des Authentifizierungsservers (RADIUS-Server) der Heimateinrichtung (z.B. radius.tu-chemnitz.de)
• Zertifikate, die die Echtheit des RADIUS-Servers bestätigt (Deutsche Telekom Root CA 2, DFN-Verein PCA Global - G01, TU Chemnitz CA G3 mittels Webbrowserfunktion "Ziel speichern unter ..." in Datei sichern und installieren)

wpa_supplicant für Linux

Eine Konfiguration, die ein heimisches Netz mit WPA-PSK (pre shared key) und eduroam unterstützt, kann z.B. so aussehen:

ctrl_interface=/var/run/wpa_supplicant

ap_scan=1

network={
        ssid="HomeNetz"
        key_mgmt=WPA-PSK
        psk=90eb5a22fa85a38d7018bf5db2bf978496bfb34d9f1bb48d3b27296c1db1aab6
}

network={
        ssid="eduroam"
        key_mgmt=WPA-EAP
        eap=TTLS
        identity="otto@tu-chemnitz.de"
        anonymous_identity="anonymous@tu-chemnitz.de"
        password="schrecklich_geheim"
        ca_cert="<pfad>/rootcert.crt"
        phase2="auth=PAP"
        priority=2
}

NetworkManager für Linux

Der NetworkManager ist ein Service, der von modernen Linux-Distributionen zur Verwaltung der Netzwerkzugänge verwendet wird. Der NetworkManager verwendet den wpa_supplicant, stellt aber zur Konfiguration eine grafische Oberfläche bereit.

SecureW2 für Windows XP

Dieser Supplikant ist nicht mehr (vom Hersteller) verfügbar. Eine ältere Version wird von der Universität Jena vorgehalten (siehe Link weiter unten).

Nach der Installation kann der Supplikant bei den Einstellungen der bevorzugten Netzwerke im Punkt "eduroam" als EAP-Typ bei der IEEE802.1X-Authentifizierung angegeben werden.

Bei der Konfiguration sind die genannten Daten anzugeben:

• Connection: Use alternate outer identity [x]; Specify outer identity: "anonymous@tu-chemnitz.de"
• Certificates: Verify server certificate [x]; -> "Deutsche Telekom Root CA"; Verify server name [x]; "radius.tu-chemnitz.de"
• Authentication: Select Authentication Method -> PAP
• User account: Prompt user for credentials [x]
  • anschließend muß nach dem Verbindungsaufbau das Eingabefenster für die Nutzerauthentifizierung über einen Klick auf das WLAN-Symbol im Systemtray der Taskleiste aufgerufen und in dieses Fenster dann
    • Username (eigene innere Identität, siehe oben) und
    • Paßwort eingegeben werden.

oder

• User account: Prompt user for credentials [ ]
  • Username: eigene innere Identität (siehe oben)
  • Paßwort

Weitere Installationsanleitungen:

• LRZ München
• Uni Jena (Vista)
• Uni Jena
• securew2 wiki

URZ
04. Februar 2013

• 
• 
• 
• 
• 

Technische Universität Chemnitz, 09107 Chemnitz

• Impressum
• - Copyright © 2013 by TU Chemnitz. Alle Rechte vorbehalten.