Eduroam - technische Beschreibung

Aus helpdesk
Version vom 14. August 2013, 12:10 Uhr von Puchamat (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „== '''1. Schritt: EAP-Tunnelaufbau''' == Als erstes ist es einmal wichtig, einen verschlüsselten Tunnel über das Netz von Ihrem Client-Gerät bis hier zu …“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen

1. Schritt: EAP-Tunnelaufbau

Als erstes ist es einmal wichtig, einen verschlüsselten Tunnel über das Netz von Ihrem Client-Gerät bis hier zu unserem Authentifizierungs-Server (RADIUS) aufzubauen, so dass die von Ihnen angegebene persönliche Benutzerkennung und insbesondere auch Ihr Kennwort niemand auf der Strecke mitlesen kann. Wir sprechen dabei von "EAP" (Extensible Authentication Protocol, hat nichts mit VPN zu tun)

Der EAP Tunnel kann auf zwei Arten aufgebaut werden:


PEAP (protected-EAP), oder

TTLS (tunneled transport-layer security).


Unser Server unterstützt derzeit leider nur TTLS. Sie müssten also an Ihrem Client-Endgerät "TTLS" als Tunnel bzw. Legitimierungs-Art einstellen.


Anonyme Anmeldung außerhalb des Tunnels


Damit der Tunnel auch zu unserem Server (und nicht irgendwo anders hin) aufgebaut wird, müssten Sie sich bereits außerhalb des Tunnels authentifizieren. Geben Sie hier bitte die "äußere" (anonyme) Identität an:


anonymous@fernuni-hagen.de


Beachten Sie aber bitte, dass dies jetzt keine Mailadresse ist.


Zertifikat


Damit Sie schließlich auch wissen, wem Sie ihre echten Login-Daten anvertrauen, muss der Server sich Ihnen gegenüber ausweisen. Das macht er mit seinem Zertifikat, das er Ihnen vorlegt. Ihr Client muss dieses Zertifikat nun automatisch akzeptieren bzw. als vertrauenswürdig anerkennen.

Sie können jetzt in Ihrem Client:


- die Zertifikatsüberprüfung deaktivieren (nicht empfohlen, aber funktioniert ! )

- den Aussteller/Herausgeber des Serverzertifikats installieren und als „vertrauenswürdig“ einstufen. Wählen Sie hierzu bitte den Zertifikats-Aussteller Deutsche Telekom Root CA 2.


Hinweis: Das Zertifikat unseres Radius-Servers wurde ausgestellt von unserer eigenen CA: FernUniversitaet in Hagen Global CA , dieses wurde ausgestellt von
DFN-Verein Global - G01, das  seinerseits von Deutsche Telekom Root CA 2 ausgestellt wurde. Die gesamte Kette muss als "vertrauenswürdig" vom Client akzeptiert werden.



2. Schritt: Login mit UserID und Kennwort

Jetzt geht es um die eigentliche Authentifizierung innerhalb des Tunnels. Auch hier gibt es mehrere Möglichkeiten:


• PAP (Password Authentication Protocol)

• CHAP (Challenge Handshake Authentication Protocol)

• MsCHAP v1 und v2 (von Microsoft bevorzugt verwendet)

• LEAP (proprietäre Methode von CISCO)

• GTK (Generic Token Card) verwendet Smartcards oder andere Hardware

• usw.


Microsoft-Windows Clients verwenden gerne das MsCHAPv2, dass unser Server jedoch leider (noch) nicht unterstützt. Wählen Sie daher bitte PAP als Authentifizierungsverfahren. Hierbei werden zwar die Benutzerkennung und das Kennwort im Klartext an den Server übermittelt, aber da die gesamte Übertragung bereits im EAP-Tunnel abläuft, sind Ihre Daten auf dem Weg dennoch geschützt.

Innerhalb des PAP können Sie sich jetzt mit ihrer UserID und ihrem Kennwort anmelden. Die Erweiterung "@fernuni-hagen.de" kann dabei an dieser Stelle entfallen.


Zusammenfassung der notwendigen Einstellungsparameter:

• Tunnelverfahren: EAP-TTLS

• äußere (anonyme) Identität angeben: anonymous@fernuni-hagen.de

• Zertifikat akzeptieren: Aussteller=Deutsche Telekom Root CA 2

• Authentifizierungsmethode: PAP

• Authentifizierung: mit Ihrer UserID und Ihrem Kennwort.


Besonderheit bei Microsoft-basierten Endgerätenin Verbindung mit eduroam

Wie bereits beschrieben, unterstützt unser Authentifizierungsserver derzeit nur das EAP-TTLS Tunnelverfahren in Verbindung mit der PAP-Authentifizierungsmethode. Unter Microsoft wird insbesondere bei den Betriebssystemen Windows XP, Vista und Windows 7 jedoch kein TTLS unterstützt. Allein mit system-eigenen Mitteln ist der Zugang zum eduroam daher nicht möglich. Es ist eine Zusatz-Software erforderlich, die den Aufbau des TTLS-Tunnels und das PAP-Loginverfahren auf Microsoft-Systemen unterstützt:

Secure W2 TTLS Client für Windows
(gepackte Version: SecureW2_eap_suite_113.zip)

Diese Clientsoftware wird an der FernUniversität bereits auf allen WLAN-fähigen Endgeräten zur Verbindung mit eduroam mit Erfolg eingesetzt. Sie ist in den älteren Versionen noch kostenfrei verfügbar. Die enthaltene Komponente TTLS 4.1.1 kann in der Konfiguration des WLAN-Treibers unmittelbar eingebunden und als Anmelde-Profil hinterlegt werden.

Beim neuen Microsoft-Windows8 sieht es anders aus: Dieses System unterstützt TTLS und PAP bereits mit Bordmitteln. Die Installation des SecrueW2-Clients ist hier nicht mehr erforderlich.